首相官邸にクロスサイトスクリプティング問題 任意のメッセージを表示可能 | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2017.12.14(木)

首相官邸にクロスサイトスクリプティング問題 任意のメッセージを表示可能

製品・サービス・業界動向 業界動向

 3月13日、首相官邸の web にクロスサイトスクリプティングの問題が発見された。

首相官邸のホームページにクロスサイトスクリプティングの脆弱性
(2002.3.13)
https://www.netsecurity.ne.jp/article/1/4313.html

 その後の対処により問題は解決されたかのように見えたが、まだ問題は残っていた。
 今回発見された問題は、不正なコードを含む首相官邸へのリンクをおくことで任意のメッセージの表示が可能であった。このリンクからジャンプして手法官邸のページを訪れた利用者は、不正に仕組まれたメッセージをあたかも首相官邸のメッセージと誤認してしまう可能性がある。

 問題は、「小泉内閣メールマガジン」の登録ページにあった。
 このページではメールマガジンの読者登録の際に必要な情報を入力すると、その次の画面で入力された情報を表示して確認を求める。しかし、この画面に問題があり、不正なコードを入力することによって、任意のメッセージを画面に表示することが可能な状態になっていた。

 発見者である office 氏は、首相官邸に通報するとともに、この問題に関する偽装可能性を示すサンプルコードを作成して公開した。

office 氏が情報を公開した掲示板
http://www.office.ac/tearoom/noframe.cgi


●首相官邸の偽装URLサンプル(下記をブラウザのURLに貼ってください)
http://www.mmz.kantei.go.jp/cgi-bin/confirm.pl?mailaddress=tewt@example.com&sex=><div%20align=left><font%20size=+5><b>%A1%CE%A4%E9%A4%A4%A4%AA%A4%F3%A4%CF%A1%BC%A4%C8%A1%A1%A1%C1%A1%A1%BE%AE%C0%F4%C1%ED%CD%FD%A4%CE%A5%E1%A5%C3%A5%BB%A1%BC%A5%B8%A1%CF</b><P>%BE%AE%C0%F4%BD%E3%B0%EC%CF%BA%A4%C7%A4%B9%A1%A3<p>%B9%BD%C2%A4%B2%FE%B3%D7%A4%CE%C3%EC%A4%C8%A4%B7%A4%C6%BF%CA%A4%E1%A4%C6%A4%AD%A4%BFe-Japan%B7%D7%B2%E8%A4%C7%A4%B9%A4%AC%A1%A2%A4%B3%A4%B3%A4%C7%B8%AB%C4%BE%A4%B7%A4%F2%A4%CF%A4%AB%A4%EB%A4%B3%A4%C8%A4%CB%A4%B7%A4%DE%A4%B7%A4%BF%A1%A3%BC%F3%C1%EA%B4%B1%C5%A1%A4%CE%A5%B5%A1%BC%A5%D0%A4%CB%A4%AA%A4%A4%A4%C6%A4%B5%A4%A8%B8%C4%BF%CD%BE%F0%CA%F3%A4%F2%C5%AC%C0%DA%A4%CB%CA%DD%B8%EE%A4%C7%A4%AD%A4%CA%A4%AB%A4%C3%A4%BF%A4%C8%A4%A4%A4%A6%BB%F6%BC%C2%A4%F2%C6%A7%A4%DE%A4%A8%B1%BE%A1%B9</font></div><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br></font></div>



 一連のクロスサイトスクリプティング問題を発見したのは、office 氏は、クロスサイトスクリプティング問題に関しての調査、啓蒙活動を行っており、以前にもさまざま大手サイトの問題を発見している。

クロスサイトスクリプティング脆弱性レポートページが登場(2002.3.9)
https://www.netsecurity.ne.jp/article/1/4278.html

 クロスサイトスクリプティングは、大きな問題として取り上げられるようなったのは最近であるが、その用途や危険性には、まだ未知な部分がある。
 一部では、クッキーを使っていなければ、クロスサイトスクリプティングの危険性はないあるいはきわめて低いといった認識があるようだが、クッキーは、危険性の一部であり、その他の危険性も看過できない。
 特に、首相官邸の web に任意のメッセージを表示できることは、社会的影響の大きさから考えてもあってはならないことである。

 例えば「首相官邸から、金利についての発表がありました。いますぐ**を買いましょう」など市場に影響を与えるメッセージを偽装して、関連する商品やサービスを売りつける踏み台にすることも可能である。
 また、「確認のため再度お名前と電話番号を入力してください」というメッセージを出し、入力内容を盗むことも可能である。

(詳しくはScan および Scan Daily EXpress 本誌をご覧ください)
http://shop.vagabond.co.jp/m-ssw01.shtml
http://shop.vagabond.co.jp/m-sdx01.shtml

《ScanNetSecurity》

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

Scan BASIC 会員限定記事

もっと見る

Scan BASIC 会員限定記事特集をもっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)

もっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)特集をもっと見る

カテゴリ別新着記事

製品・サービス・業界動向 カテゴリの人気記事 MONTHLY ランキング

  1. イスラエルのサイバー防衛たてつけ~視察団報告

    イスラエルのサイバー防衛たてつけ~視察団報告

  2. 次世代FW+Sandbox+SIEM+SOCの管理体制が限界を迎えるとき~三年後を先取りするVectra Networks社製品とは

    次世代FW+Sandbox+SIEM+SOCの管理体制が限界を迎えるとき~三年後を先取りするVectra Networks社製品とは

  3. シミュレーションゲーム「データセンターアタック」(トレンドマイクロ)

    シミュレーションゲーム「データセンターアタック」(トレンドマイクロ)

  4. 自分の利用しているサーバの状況を確認する方法 不正中継確認

  5. サイバーセキュリティ経営ガイドライン改訂、経営者が指示すべき10項目見直しや事後対策取組など(経済産業省)

  6. ダークウェブからAIで情報収集(DTRS、IISEC)

  7. 2020大会関係者向け疑似サイバー攻撃演習、システムを忠実に再現(NICT)

  8. EDRとSOCを連携させた標的型攻撃対策サービスを提供(TIS)

  9. 学校の自殺予防体制、情報セキュリティ技術活用

  10. IoT製品や組み込み機器などの脆弱性をハッカー視点で診断するラボを開設(PwCサイバーサービス)

全カテゴリランキング

★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★
<b>★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★</b>

経営課題としてサイバーセキュリティに取り組む情報システム部門や、研究・開発・経営企画に携わる方へ向けた、創刊19年のセキュリティ情報サービス Scan PREMIUM を、貴社の事業リスク低減のためにご活用ください。

×