首相官邸にクロスサイトスクリプティング問題 任意のメッセージを表示可能 | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2018.10.23(火)

首相官邸にクロスサイトスクリプティング問題 任意のメッセージを表示可能

 3月13日、首相官邸の web にクロスサイトスクリプティングの問題が発見された。

製品・サービス・業界動向 業界動向
 3月13日、首相官邸の web にクロスサイトスクリプティングの問題が発見された。

首相官邸のホームページにクロスサイトスクリプティングの脆弱性
(2002.3.13)
https://www.netsecurity.ne.jp/article/1/4313.html

 その後の対処により問題は解決されたかのように見えたが、まだ問題は残っていた。
 今回発見された問題は、不正なコードを含む首相官邸へのリンクをおくことで任意のメッセージの表示が可能であった。このリンクからジャンプして手法官邸のページを訪れた利用者は、不正に仕組まれたメッセージをあたかも首相官邸のメッセージと誤認してしまう可能性がある。

 問題は、「小泉内閣メールマガジン」の登録ページにあった。
 このページではメールマガジンの読者登録の際に必要な情報を入力すると、その次の画面で入力された情報を表示して確認を求める。しかし、この画面に問題があり、不正なコードを入力することによって、任意のメッセージを画面に表示することが可能な状態になっていた。

 発見者である office 氏は、首相官邸に通報するとともに、この問題に関する偽装可能性を示すサンプルコードを作成して公開した。

office 氏が情報を公開した掲示板
http://www.office.ac/tearoom/noframe.cgi


●首相官邸の偽装URLサンプル(下記をブラウザのURLに貼ってください)
http://www.mmz.kantei.go.jp/cgi-bin/confirm.pl?mailaddress=tewt@example.com&sex=><div%20align=left><font%20size=+5><b>%A1%CE%A4%E9%A4%A4%A4%AA%A4%F3%A4%CF%A1%BC%A4%C8%A1%A1%A1%C1%A1%A1%BE%AE%C0%F4%C1%ED%CD%FD%A4%CE%A5%E1%A5%C3%A5%BB%A1%BC%A5%B8%A1%CF</b><P>%BE%AE%C0%F4%BD%E3%B0%EC%CF%BA%A4%C7%A4%B9%A1%A3<p>%B9%BD%C2%A4%B2%FE%B3%D7%A4%CE%C3%EC%A4%C8%A4%B7%A4%C6%BF%CA%A4%E1%A4%C6%A4%AD%A4%BFe-Japan%B7%D7%B2%E8%A4%C7%A4%B9%A4%AC%A1%A2%A4%B3%A4%B3%A4%C7%B8%AB%C4%BE%A4%B7%A4%F2%A4%CF%A4%AB%A4%EB%A4%B3%A4%C8%A4%CB%A4%B7%A4%DE%A4%B7%A4%BF%A1%A3%BC%F3%C1%EA%B4%B1%C5%A1%A4%CE%A5%B5%A1%BC%A5%D0%A4%CB%A4%AA%A4%A4%A4%C6%A4%B5%A4%A8%B8%C4%BF%CD%BE%F0%CA%F3%A4%F2%C5%AC%C0%DA%A4%CB%CA%DD%B8%EE%A4%C7%A4%AD%A4%CA%A4%AB%A4%C3%A4%BF%A4%C8%A4%A4%A4%A6%BB%F6%BC%C2%A4%F2%C6%A7%A4%DE%A4%A8%B1%BE%A1%B9</font></div><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br></font></div>



 一連のクロスサイトスクリプティング問題を発見したのは、office 氏は、クロスサイトスクリプティング問題に関しての調査、啓蒙活動を行っており、以前にもさまざま大手サイトの問題を発見している。

クロスサイトスクリプティング脆弱性レポートページが登場(2002.3.9)
https://www.netsecurity.ne.jp/article/1/4278.html

 クロスサイトスクリプティングは、大きな問題として取り上げられるようなったのは最近であるが、その用途や危険性には、まだ未知な部分がある。
 一部では、クッキーを使っていなければ、クロスサイトスクリプティングの危険性はないあるいはきわめて低いといった認識があるようだが、クッキーは、危険性の一部であり、その他の危険性も看過できない。
 特に、首相官邸の web に任意のメッセージを表示できることは、社会的影響の大きさから考えてもあってはならないことである。

 例えば「首相官邸から、金利についての発表がありました。いますぐ**を買いましょう」など市場に影響を与えるメッセージを偽装して、関連する商品やサービスを売りつける踏み台にすることも可能である。
 また、「確認のため再度お名前と電話番号を入力してください」というメッセージを出し、入力内容を盗むことも可能である。

(詳しくはScan および Scan Daily EXpress 本誌をご覧ください)
http://shop.vagabond.co.jp/m-ssw01.shtml
http://shop.vagabond.co.jp/m-sdx01.shtml

《ScanNetSecurity》

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

カテゴリ別新着記事

(。・ω・)ゞ !!ScanNetSecurity創刊20周年特別キャンペーン実施中。会員限定 PREMIUM 記事読み放題。早割10月末迄。現在通常料金半額以下!!
<b>(。・ω・)ゞ !!ScanNetSecurity創刊20周年特別キャンペーン実施中。会員限定 PREMIUM 記事読み放題。早割<font color=10月末迄。現在通常料金半額以下!!">

サイバーセキュリティの専門誌 ScanNetSecurity は 1998年の創刊から20周年を迎え、感謝を込めた特別キャンペーンを実施中。創刊以来史上最大割引率。次は30周年が来るまでこの価格はもうありません

×