ITmedia NEWS > セキュリティ >
セキュリティ・ホットトピックス

YouTubeにXSS攻撃、不正ポップアップなどの被害広がる

» 2010年07月06日 06時54分 公開
[ITmedia]

 動画共有サイトの米YouTubeを狙った攻撃が発生し、ショッキングなデマが流れたり、コメントが表示されなくなるなどの影響が広がった。7月4日から5日にかけて、米セキュリティ機関のSANS Internet Storm Centerや英Sophosなどが伝えた。

 それによると、この攻撃ではYouTubeのコメントシステムに存在するクロスサイトスクリプティング(XSS)の脆弱性が悪用された。この影響でコメントが表示されなくなったり、画面に「ニュース速報:(歌手の)ジャスティン・ビーバーが交通事故で死亡」というデマがポップアップ表示されるなどの被害が広がった。ほかにも不正なポップアップが出たり、悪趣味なWebサイトにリダイレクトされたりするケースが相次いだという。

XSS攻撃で表示されたデマ(SANSより)

 Googleは攻撃発生から2時間ほどでこの問題に対処したと伝えられている。

 SANSによれば、YouTubeが使っているコメントアプリケーションの出力データの暗号化処理に問題が存在した。これを突いて攻撃者がcookieを盗み、JavaScriptコードを仕込んでユーザーのWebブラウザで実行させることができてしまったとみられる。

 こうした攻撃では、攻撃者が細工を施したJavaScriptをWebブラウザで実行させ、cookieを盗むだけでなく、偽のログインページを表示させるなどあらゆることができてしまうとSANSは指摘。XSSの脆弱性は極めて危険だと警鐘を鳴らしている。

関連キーワード

SANS | XSS | YouTube | 偽情報 | 脆弱性


企業向け情報を集約した「ITmedia エンタープライズ」も併せてチェック

過去のセキュリティニュース一覧はこちら

Copyright © ITmedia, Inc. All Rights Reserved.