【マンスリーレポート2003/10】「まぐまぐ」サイトで発覚したクロスサイトスクリプティングの問題とその対処 | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2017.08.21(月)

【マンスリーレポート2003/10】「まぐまぐ」サイトで発覚したクロスサイトスクリプティングの問題とその対処

製品・サービス・業界動向 業界動向

──────────────────────────────〔Info〕─
Scan Monthly Report Best Worst
http://www.vagabond.co.jp/c2/shop/books/p-sbw01.html

ネットワークセキュリティ・インシデント年鑑2003
http://www.vagabond.co.jp/c2/shop/books/p-inc02.html
───────────────────────────────────

 株式会社まぐまぐといえば、メールマガジン2万7千誌以上、のべ読者数2千6百万人以上を有する、日本最大のメールマガジン配信サービス会社である。9月、まぐまぐが運営する、

 ・「まぐまぐ!」 ( http://www.mag2.com/ )
 ・「懸まぐ!」 ( http://present.mag2.com/ )

の2つのWebサイトで、クロスサイトスクリプティングの問題のあることがわかった。現在はすでに対処済みで、その心配はない。
 この問題について、そして発覚から対応までの経緯をまとめ、また考察を加えてみた。


■検索CGIにクロスサイトスクリプティングの問題

 問題となったのは、上記2サイトでそれぞれ設置されている検索ボックス。メールマガジンやプレゼントの検索に利用される。
 ここにHTMLやスクリプトを入力すると、そのまま実行されてしまう状態になっていた。悪用されれば、クレジットカードや電話番号などの情報を盗み出すことも可能である。
 つまり、検索用CGIにクロスサイトスクリプティングに対しての対策が施されてなく、セキュリティ的に脆弱な状態であった。
 これに対しては、HTMLのタグやスクリプトを無効化する、サニタイジングにより回避できる。具体的にはタグを文字列に置換する処理を施すわけである。


■発覚から対応までの経緯

 この問題に気づいたのは、ネットアンドセキュリティ総研株式会社(旧:バガボンド)である。発覚から対応まで、まぐまぐとバガボンドのみのやりとりとなった。

>> 2社の主なやりとり

9月24日(水)
 [Eメール]バガボンド → まぐまぐ(プレミアム事務局)
  検索CGIにクロスサイトスクリプティングの脆弱性がある旨を連絡。
  メールの宛先は、たまたま直接付き合いがある部署であるが、担当部署に転送してもらうことをメール内で依頼。


【執筆:井上きよみ(アイドゥ)】

(詳しくはScan Daily Expressをご覧ください)
http://www.vagabond.co.jp/cgi-bin/ct/p.cgi?sdx01_netsec
《ScanNetSecurity》

Scan PREMIUM 会員限定

もっと見る

Scan PREMIUM 会員限定特集をもっと見る

Scan BASIC 会員限定記事

もっと見る

Scan BASIC 会員限定記事特集をもっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)

もっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)特集をもっと見る

カテゴリ別新着記事

製品・サービス・業界動向 カテゴリの人気記事 MONTHLY ランキング

  1. ルートゾーンKSKの情報更新など呼びかけ、期限は9月19日まで(総務省)

    ルートゾーンKSKの情報更新など呼びかけ、期限は9月19日まで(総務省)

  2. ネットユーザの1/4が影響する可能性、KSKロールオーバーの特設ページ更新(JPNIC)

    ネットユーザの1/4が影響する可能性、KSKロールオーバーの特設ページ更新(JPNIC)

  3. 3DS「ドラクエXI」に第三者が違法にデータ改ざんしたヨッチ族を確認(スクウェア・エニックス)

    3DS「ドラクエXI」に第三者が違法にデータ改ざんしたヨッチ族を確認(スクウェア・エニックス)

  4. リニューアルされた「JSOC」運用開始前に潜入

  5. SOC運用ノウハウの反映で攻撃プロセスを可視化、検知後の対応を効率化(PFU)

  6. VMwareのモバイル基盤サービスを自社導入ノウハウ加え提供、働き方改革にも(NEC)

  7. 自分の利用しているサーバの状況を確認する方法 不正中継確認

  8. サイバー攻撃対策要員養成アカデミーに産業制御系システム対応コースを新設(DNP)

  9. 家庭や学校、企業で利用可能な初心者向け学習資料をシリーズで無償提供(トレンドマイクロ)

  10. IoT機器向けのセキュリティソリューションで協力(ST)

全カテゴリランキング

★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★
<b>★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★</b>

経営課題としてサイバーセキュリティに取り組む情報システム部門や、研究・開発・経営企画に携わる方へ向けた、創刊19年のセキュリティ情報サービス Scan PREMIUM を、貴社の事業リスク低減のためにご活用ください。

×