三和銀行と東海銀行が合併し、あらたに業務を開始したUFJ銀行だが、同銀行で使用しているWebサーバに、セキュリティホールが発見された。このサーバでは、「Netscape-Enterprise/4.0」が利用されており、このバージョンにはクロスサイトスクリプティングの脆弱性があることが確認されている。この脆弱性を利用することにより、Cookieを盗みだせるほか、様々な悪用が可能である。 なお、Webサイト上には、Cookieを利用している旨が記載されており、顧客の連絡先などの情報は含まれていないとしているが、いずれにせよセキュリティホールが存在するサーバを使用するのには問題があるだろう。 クロスサイトスクリプティングの脆弱性については、昨年に経済産業省からも通告があった。さらに、米国のシティバンクでは、この脆弱性により、顧客情報が流出するという事件が起きたばかりである。 また、この件に関して、編集部ではUFJ銀行に対しメール、及び電話にて連絡済みである。UFJ銀行のWebサイトhttp://www.ufjbank.co.jp/ □ 関連情報・経済産業省 Webサイトにおけるクロスサイトスクリプティング問題への対応について http://www.meti.go.jp/kohosys/press/0002035/0/011030website.htm・iPlanet Web ServerとNetscape Enterprise Serverにサービス妨害を受ける 脆弱性 iPlanet Web Server Enterprise EditionとNetscape Enterprise Serverの Windows NT版には Web Publisherが有効になっていると、不正なコマンドに よってWEBサーバプロセスをクラッシュ可能な脆弱性があります。 CERT http://www.kb.cert.org/vuls/id/191763 http://www.ipa.go.jp/security/news/news.html CERT iPlanet Web Server Enterprise Edition and Netscape Enterprise Server malformed Web Publisher command causes Denial of Service http://www.kb.cert.org/vuls/id/191763
