Second Lifeにパスワード流出の脆弱性 アバター乗っ取りの恐れも

[ITmedia]

　3D仮想空間「Second Life」に、ユーザーのパスワードなどを盗むことができてしまう脆弱性が見つかった。セキュリティ各社のリスク評価はそれほど高くないが、ログイン情報が盗まれれば、Second Lifeのアバターを乗っ取られてしまう恐れもある。

　仏FrSIRTのアドバイザリーによると、この脆弱性は、アプリケーションをインストールする過程で登録される「secondlife://」URIハンドラの設計ミスに起因する。攻撃者が不正なiframeを仕掛けたWebページをユーザーに閲覧させることにより、ユーザーネームとパスワードを盗み出すことが可能になる。

GNUCITIZENはユーザー情報を盗む手順を公開した

　問題を発見したハッカー組織「GNUCITIZEN」は、不正なWebページを使ってログイン情報を盗み出す手順をサイト上で公開。問題の悪用にはInternet Explorer（IE）6と7が利用できるとしている。

　FrSIRTのリスク評価は4段階で下から2番目に低い「Moderate Risk」。しかしGNUCITIZENでは、Second Lifeの通貨「リンデンドル」が現金に換金できることから、被害者が多額のリンデンドルを持っている場合、極めて深刻な状況に陥ると指摘している。