イラストSNS「pixiv」の一部の作品に対し、「ツマンネ」「ヘタクソ」「気持ちわる」といった中傷コメントが意図せずに投稿されてしまう問題が起きた。運営会社が調べたところ、何者かがユーザーに脆弱性を悪用した外部URLをクリックさせ、意図しないコメントを投稿させていたことが分かり、既に脆弱性は修正した。
ピクシブの開発者ブログによると、問題は2月5日〜14日に発生。イラストのキャプション欄などに貼られていたあるURLをクリックすると、外部サイトを経由し、中傷コメントが投稿されるようになっていた。
URLをクリックしたユーザーが意図しない機能を実行させられるWebアプリの脆弱性の一種・クロスサイトリクエストフォージェリ(CSRF)を悪用していた。脆弱性は14日に修正した。アカウントが乗っ取られたわけではなく、個人情報の漏えいや改ざんはないとしている。ウイルス感染の被害もないという。
pixivでは「自分のアカウントから覚えのない中傷コメントが書き込まれている」といった報告が相次ぎ、「ユーザーのアカウントが乗っ取られたのでは」と騒ぎになっていた。意図しないコメント投稿の有無はマイページの「コメント履歴」で確認できる。
同社は「脆弱性による不具合を利用し、他人のアカウントになりすまして不適切なコメントを行った行為は不正アクセス禁止法違反に該当する」とし、警察と情報処理推進機構(IPA)に届け出るという。
CSRFの脆弱性を突いた似た問題は以前、Amebaなうやmixiでも起きた(関連記事:URL踏むと「こんにちは こんにちは!!」 AmebaなうのCSRF脆弱性で“意図しない投稿”広がる)(関連記事:大量の「はまちちゃん」を生み出したCSRFの脆弱性とは?)。
Copyright © ITmedia, Inc. All Rights Reserved.
Special
PR