──────────────────────────────〔Info〕─Scan Monthly Report Best Worsthttp://www.vagabond.co.jp/c2/shop/books/p-sbw01.htmlネットワークセキュリティ・インシデント年鑑2003http://www.vagabond.co.jp/c2/shop/books/p-inc02.html─────────────────────────────────── 株式会社まぐまぐといえば、メールマガジン2万7千誌以上、のべ読者数2千6百万人以上を有する、日本最大のメールマガジン配信サービス会社である。9月、まぐまぐが運営する、 ・「まぐまぐ!」 ( http://www.mag2.com/ ) ・「懸まぐ!」 ( http://present.mag2.com/ )の2つのWebサイトで、クロスサイトスクリプティングの問題のあることがわかった。現在はすでに対処済みで、その心配はない。 この問題について、そして発覚から対応までの経緯をまとめ、また考察を加えてみた。■検索CGIにクロスサイトスクリプティングの問題 問題となったのは、上記2サイトでそれぞれ設置されている検索ボックス。メールマガジンやプレゼントの検索に利用される。 ここにHTMLやスクリプトを入力すると、そのまま実行されてしまう状態になっていた。悪用されれば、クレジットカードや電話番号などの情報を盗み出すことも可能である。 つまり、検索用CGIにクロスサイトスクリプティングに対しての対策が施されてなく、セキュリティ的に脆弱な状態であった。 これに対しては、HTMLのタグやスクリプトを無効化する、サニタイジングにより回避できる。具体的にはタグを文字列に置換する処理を施すわけである。■発覚から対応までの経緯 この問題に気づいたのは、ネットアンドセキュリティ総研株式会社(旧:バガボンド)である。発覚から対応まで、まぐまぐとバガボンドのみのやりとりとなった。>> 2社の主なやりとり9月24日(水) [Eメール]バガボンド → まぐまぐ(プレミアム事務局) 検索CGIにクロスサイトスクリプティングの脆弱性がある旨を連絡。 メールの宛先は、たまたま直接付き合いがある部署であるが、担当部署に転送してもらうことをメール内で依頼。【執筆:井上きよみ(アイドゥ)】(詳しくはScan Daily Expressをご覧ください)http://www.vagabond.co.jp/cgi-bin/ct/p.cgi?sdx01_netsec
