情報セキュリティ
個人情報保護対策支援
情報セキュリティ管理士認定試験
個人情報に関する検定紹介
情報セキュリティ 速報
米eBayのWebサイトにクロスサイト・スクリプティングの
セキュリティ・ホール
(2006.4.7)
被害者を実在する銀行やショッピングサイトなどとそっくりな“罠のサイト”に誘い込む「フィッシング詐欺の増加が問題になっていますが、オークション・サービスを提供する米eBayのWebサイトにクロスサイト・スクリプティングのセキュリティ・ホールが見つかったと、米US-CERTが4月3日、明らかにしました。悪用されると,eBayユーザーのCookie情報を盗まれたり,フィッシング・サイトへ誘導されたりする可能性があるということです。
これはeBayユーザーが投稿するオークション情報にスクリプトタグを含めることができてしまうということで、この脆弱性を悪用すれば,攻撃者はeBayのサイトからユーザーの個人情報などを盗めてしまい、実際にこの脆弱性を悪用したフィッシング詐欺をUS-CERTでは確認しているとのことです。
回避策としては、「スクリプト機能(アクティブスクリプト)を無効にする」や「現在アクセスしているサイトが本物かどうかを,URLやデジタル証明などから確認する」などだということです。
ニュース&トピックス
情報ア・ラ・カルト
- 金融機関の情報セキュリティ強化に金融庁が本腰
- ウイルスメールを疑似体験できるサービス
- セキュリティ脆弱性情報をオークションで販売
- 「iTunes」にセキュリティ・ホール
- 「OpenOffice.org」にキュリティ・ホール
- マイクロソフト、IE 7の最終ベータ版はセキュリティに重点
- 国内セキュリティ・ソフト市場が大幅な伸び
- 米マイクロソフト社、企業用セキュリティ製品を新ブランドで展開
- NTT西日本、「フレッツ・光プレミアム」のセキュリティ機能を強化
- セキュリティ対策に自信あり。でも実際は?
- ファイル共有ソフト「Winny」などを削除するセキュリティ対策ソフト発売
- IPA、TCP/IPの脆弱性についての文書を公開
- 中小企業向けに低価格のセキュリティサーバ
- 小中高等学校向けに無償でセキュリティ対策ソフト
- 「ランサムウェア(身代金目当てのソフトウェア)」の脅威が再び?
- 政府がウィニー対策の独自ソフト開発へ
- 日本企業はセキュリティ意識高いが自信がない?