「予告.in」に不正コード埋め込み 閲覧すると2chに犯行予告投稿
予告.inにXSS攻撃があり、アクセスすると「警視庁爆破する」という犯行予告スレッドを2chに投稿させる状態になっていた。
犯行予告収集サイト「予告.in」に8月3日、不正なコードが埋め込まれ、アクセスと同時に「警視庁爆破する」という犯行予告文を「2ちゃんねる」に強制的に投稿させる問題が起きた。約1時間半後に修正されたが、運営者の矢野さとるさんは「利用者に迷惑をかけて申し訳ない」と謝罪している。
問題が発生したのは、3日の午前2時18分から3時55分。PCで予告inにアクセスすると、2ちゃんねるのVIP板に、タイトル「警視庁爆破する」、本文「嘘です」、名前欄にアクセス元リモートホストを書いたスレッドを、強制的に投稿させる状態になっていた。
クロスサイトスクリプティング(XSS)の脆弱性をつき、予告投稿欄に不正なコードが埋め込まれていたことが原因。投稿欄のURL部分にエスケープ処理(不正な文字列を無効化する処理)を行っていなかったため、悪意あるコードを投稿欄のURL部分に埋め込んだ場合、コードを実行させる危険性があったという。
矢野さんはユーザーからの連絡で状況を確認。不正コードを排除し、不正コードを送信・表示できないような対策を講じた。犯行予告を投稿後、すぐに反映する形式から、いったん内容を確認してから反映させる方式に一時的に変更した。
警視庁には、これらの投稿が不正なコードによって行われ、投稿者本人の意志ではないことを連絡。必要があれば被害届を出したいという意思を伝えた。警視庁は事実関係を把握し、調査を行っているという。
矢野さんは「利用者の皆様にご迷惑をおかけして大変申し訳ございませんでした」と謝罪。プログラムの整備やセキュリティー対策強化を行っていくとしている。
関連記事
- 犯行予告のURL、110番でどう伝える
先週のアクセストップは、ひろゆき氏が警視庁から受け取った「犯行予告は110番」メールを2chにそのまま張り付けたという記事だった。110番にURLを通報する際、正確に伝えるのは骨が折れる作業のようだ。 - 犯行予告で逮捕、1日に6件も
秋葉原の無差別殺傷事件以来、ネット上の犯行予告で逮捕される人が相次いでいる。「予告.in」はその日に逮捕された人の数を報道などから把握し、カウントしている。 - 犯行予告情報を防犯につなげるには 「予告.in」開発者の悩み
先週のアクセストップは、犯行予告を集約するサイト「予告.in」の紹介記事だった。集まった悪質な予告を110番通報したところ、オフィスに警察がやってきてびっくりしたそうだ。 - 「予告.in」が1日で進化 携帯版も構築中
ネット上の犯行予告を集約・共有するサイト「予告.in」が1日で進化した。犯罪と関係のないいたずら書き込みを制御するためフォームを改良したほか、携帯電話用サイトも構築中だ。対抗サービス「予告.out」も登場。 - 犯行予告収集サイト「予告.in」公開 「0億円、2時間で作った」
「総務相が、ネット上の犯行予告を検知できるソフトの開発費を来年度予算の概算要求に盛り込むと発言した。費用は数億円」という報道を受け、開発者の矢野さとるさん(26)は、犯行予告収集サイトを1人で2時間で構築・公開した。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.