2008年08月04日(月) 08時18分
「予告.in」に不正コード埋め込み 閲覧すると2chに犯行予告投稿(ITmediaニュース)
犯行予告収集サイト「予告.in」に8月3日、不正なコードが埋め込まれ、アクセスと同時に「警視庁爆破する」という犯行予告文を「2ちゃんねる」に強制的に投稿させる問題が起きた。約1時間半後に修正されたが、運営者の矢野さとるさんは「利用者に迷惑をかけて申し訳ない」と謝罪している。
【他の画像を含む記事】
問題が発生したのは、3日の午前2時18分から3時55分。PCで予告inにアクセスすると、2ちゃんねるのVIP板に、タイトル「警視庁爆破する」、本文「嘘です」、名前欄にアクセス元リモートホストを書いたスレッドを、強制的に投稿させる状態になっていた。
クロスサイトスクリプティング(XSS)の脆弱性をつき、予告投稿欄に不正なコードが埋め込まれていたことが原因。投稿欄のURL部分にエスケープ処理(不正な文字列を無効化する処理)を行っていなかったため、悪意あるコードを投稿欄のURL部分に埋め込んだ場合、コードを実行させる危険性があったという。
矢野さんはユーザーからの連絡で状況を確認。不正コードを排除し、不正コードを送信・表示できないような対策を講じた。犯行予告を投稿後、すぐに反映する形式から、いったん内容を確認してから反映させる方式に一時的に変更した。
警視庁には、これらの投稿が不正なコードによって行われ、投稿者本人の意志ではないことを連絡。必要があれば被害届を出したいという意思を伝えた。警視庁は事実関係を把握し、調査を行っているという。
矢野さんは「利用者の皆様にご迷惑をおかけして大変申し訳ございませんでした」と謝罪。プログラムの整備やセキュリティー対策強化を行っていくとしている。
【関連記事】
・
→ 「犯行予告」 最新記事一覧
・
→ 「不正コード」 最新記事一覧
・
犯行予告のURL、110番でどう伝える
・
犯行予告で逮捕、1日に6件も
・
犯行予告情報を防犯につなげるには 「予告.in」開発者の悩み
http://headlines.yahoo.co.jp/hl?a=20080804-00000032-zdn_n-sci