首相官邸にクロスサイトスクリプティング問題 任意のメッセージを表示可能 | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2017.10.20(金)

首相官邸にクロスサイトスクリプティング問題 任意のメッセージを表示可能

製品・サービス・業界動向 業界動向

 3月13日、首相官邸の web にクロスサイトスクリプティングの問題が発見された。

首相官邸のホームページにクロスサイトスクリプティングの脆弱性
(2002.3.13)
https://www.netsecurity.ne.jp/article/1/4313.html

 その後の対処により問題は解決されたかのように見えたが、まだ問題は残っていた。
 今回発見された問題は、不正なコードを含む首相官邸へのリンクをおくことで任意のメッセージの表示が可能であった。このリンクからジャンプして手法官邸のページを訪れた利用者は、不正に仕組まれたメッセージをあたかも首相官邸のメッセージと誤認してしまう可能性がある。

 問題は、「小泉内閣メールマガジン」の登録ページにあった。
 このページではメールマガジンの読者登録の際に必要な情報を入力すると、その次の画面で入力された情報を表示して確認を求める。しかし、この画面に問題があり、不正なコードを入力することによって、任意のメッセージを画面に表示することが可能な状態になっていた。

 発見者である office 氏は、首相官邸に通報するとともに、この問題に関する偽装可能性を示すサンプルコードを作成して公開した。

office 氏が情報を公開した掲示板
http://www.office.ac/tearoom/noframe.cgi


●首相官邸の偽装URLサンプル(下記をブラウザのURLに貼ってください)
http://www.mmz.kantei.go.jp/cgi-bin/confirm.pl?mailaddress=tewt@example.com&sex=><div%20align=left><font%20size=+5><b>%A1%CE%A4%E9%A4%A4%A4%AA%A4%F3%A4%CF%A1%BC%A4%C8%A1%A1%A1%C1%A1%A1%BE%AE%C0%F4%C1%ED%CD%FD%A4%CE%A5%E1%A5%C3%A5%BB%A1%BC%A5%B8%A1%CF</b><P>%BE%AE%C0%F4%BD%E3%B0%EC%CF%BA%A4%C7%A4%B9%A1%A3<p>%B9%BD%C2%A4%B2%FE%B3%D7%A4%CE%C3%EC%A4%C8%A4%B7%A4%C6%BF%CA%A4%E1%A4%C6%A4%AD%A4%BFe-Japan%B7%D7%B2%E8%A4%C7%A4%B9%A4%AC%A1%A2%A4%B3%A4%B3%A4%C7%B8%AB%C4%BE%A4%B7%A4%F2%A4%CF%A4%AB%A4%EB%A4%B3%A4%C8%A4%CB%A4%B7%A4%DE%A4%B7%A4%BF%A1%A3%BC%F3%C1%EA%B4%B1%C5%A1%A4%CE%A5%B5%A1%BC%A5%D0%A4%CB%A4%AA%A4%A4%A4%C6%A4%B5%A4%A8%B8%C4%BF%CD%BE%F0%CA%F3%A4%F2%C5%AC%C0%DA%A4%CB%CA%DD%B8%EE%A4%C7%A4%AD%A4%CA%A4%AB%A4%C3%A4%BF%A4%C8%A4%A4%A4%A6%BB%F6%BC%C2%A4%F2%C6%A7%A4%DE%A4%A8%B1%BE%A1%B9</font></div><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br></font></div>



 一連のクロスサイトスクリプティング問題を発見したのは、office 氏は、クロスサイトスクリプティング問題に関しての調査、啓蒙活動を行っており、以前にもさまざま大手サイトの問題を発見している。

クロスサイトスクリプティング脆弱性レポートページが登場(2002.3.9)
https://www.netsecurity.ne.jp/article/1/4278.html

 クロスサイトスクリプティングは、大きな問題として取り上げられるようなったのは最近であるが、その用途や危険性には、まだ未知な部分がある。
 一部では、クッキーを使っていなければ、クロスサイトスクリプティングの危険性はないあるいはきわめて低いといった認識があるようだが、クッキーは、危険性の一部であり、その他の危険性も看過できない。
 特に、首相官邸の web に任意のメッセージを表示できることは、社会的影響の大きさから考えてもあってはならないことである。

 例えば「首相官邸から、金利についての発表がありました。いますぐ**を買いましょう」など市場に影響を与えるメッセージを偽装して、関連する商品やサービスを売りつける踏み台にすることも可能である。
 また、「確認のため再度お名前と電話番号を入力してください」というメッセージを出し、入力内容を盗むことも可能である。

(詳しくはScan および Scan Daily EXpress 本誌をご覧ください)
http://shop.vagabond.co.jp/m-ssw01.shtml
http://shop.vagabond.co.jp/m-sdx01.shtml

《ScanNetSecurity》

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

Scan BASIC 会員限定記事

もっと見る

Scan BASIC 会員限定記事特集をもっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)

もっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)特集をもっと見る

カテゴリ別新着記事

製品・サービス・業界動向 カテゴリの人気記事 MONTHLY ランキング

  1. 次世代FW+Sandbox+SIEM+SOCの管理体制が限界を迎えるとき~三年後を先取りするVectra Networks社製品とは

    次世代FW+Sandbox+SIEM+SOCの管理体制が限界を迎えるとき~三年後を先取りするVectra Networks社製品とは

  2. Raspberry PiにKali linuxをセット、「ホワイトハッカ育成ツール」発売(スペクトラム・テクノロジー)

    Raspberry PiにKali linuxをセット、「ホワイトハッカ育成ツール」発売(スペクトラム・テクノロジー)

  3. 30年度サイバーセキュリティ政府予算730億円、防衛省と厚労省が各45億円超(NISC)

    30年度サイバーセキュリティ政府予算730億円、防衛省と厚労省が各45億円超(NISC)

  4. 自分の利用しているサーバの状況を確認する方法 不正中継確認

  5. 新アルゴリズムを開発、古い制御システムでもサイバー攻撃対策が可能に(日立)

  6. ルートゾーンKSKロールオーバーのプロセス開始、DNSパケットサイズに注意(JPRS)

  7. Apache Strutsの脆弱性リスクの有無を判断できるツールを無料配布(Black Duck Software)

  8. 顔認証システムの現状、顔写真を使った「なりすまし」も3Dデータ照合で防ぐ

  9. ルートゾーンKSKロールオーバーの「新KSKでの署名開始」を延期(JPRS)

  10. 世界で発生した情報漏えい事件から、該当アカウントを調査するサービス(ソリトン)

全カテゴリランキング

★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★
<b>★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★</b>

経営課題としてサイバーセキュリティに取り組む情報システム部門や、研究・開発・経営企画に携わる方へ向けた、創刊19年のセキュリティ情報サービス Scan PREMIUM を、貴社の事業リスク低減のためにご活用ください。

×