ウェブサイトの悪質なコードに関する指導書を刊行 (カーネギーメロン大学) | ScanNetSecurity
2022.06.27(月)

ウェブサイトの悪質なコードに関する指導書を刊行 (カーネギーメロン大学)

 カーネギーメロン大学のコンピュータ緊急対応チーム(CERT)は2月1日、ウェブ運営者の知らぬ間に悪意あるソフトウェア・スクリプトが投稿されネット上に蔓延する危険性に関する指導書を刊行した。  CERTの指導書によると、そのプログラムはサイトに埋め込まれた特殊な

国際 海外情報
 カーネギーメロン大学のコンピュータ緊急対応チーム(CERT)は2月1日、ウェブ運営者の知らぬ間に悪意あるソフトウェア・スクリプトが投稿されネット上に蔓延する危険性に関する指導書を刊行した。
 CERTの指導書によると、そのプログラムはサイトに埋め込まれた特殊なリンクにより蔓延する。それらのリンクは、サイトがパスワードのような機密情報の収集を可能にするスクリプトや悪質なデータ、迷惑な写真などを送信するのを許してしまう。CERTは、ウェブ開発者とユーザはそのスクリプトを使って組織内の制限されたネットワークがインターネット上の攻撃者にさらされる危険性を認識すべきだと勧告した。(そのスクリプトの機能を停止させる手順は“CERTの悪質なコードに関するFAQ”、CERT's Malicious Code FAQに詳述されている)
 さらに指導書は、潜在的攻撃者がウェブサイトのデータ送受信の際のセキュリティ不備を利用する危険性があると指摘し、クライアントに送り返すデータに“不審な”文字がないことを保証するためデータを検証することを勧めている。
 「悪質なスクリプトの検出は困難なため、これまでCERTが直接報告を受けたことはない。我々はこの問題を理解し、そしてリスク軽減を図る防御措置のような技術情報を伝えるため作業に取り組んできた」とCERTテクニカル・コミュニケーション担当部長のBill Pollack氏が述べた。
 この指導書の刊行に際し、米国防総省の統合コンピュータ・ネットワーク防御対策特別捜査班、連邦コンピュータ事件対応局(FedCIRC)、全米社会基盤防衛センター(NIPC)が参画した。

《ScanNetSecurity》

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

カテゴリ別新着記事

「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」
「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」

ページ右上「ユーザー登録」から会員登録すれば会員限定記事を閲覧できます。毎週月曜の朝、先週一週間のセキュリティ動向を総括しふりかえるメルマガをお届け。(写真:ScanNetSecurity 名誉編集長 りく)

×