2004年07月21日(水) 12時06分

金融関連企業の Web サイトに、スクリプト挿入の脆弱性（japan.internet.com）

多数のオンライン金融関連企業の Web サイトに、利用者をフィッシング詐欺の危険に晒す可能性のある脆弱性が見つかった。クレジットカード大手の MasterCardInternational もその1つだ。脆弱性の警告を受けた各社は、修正作業を進めている。

イギリスのセキュリティ研究者 Sam Greenhalgh 氏は6月28日、MasterCard、Barclaycard、Natwest、および WorldPay をはじめとする複数の金融関連企業の Web サイトに、クロスサイト スクリプティングおよびスクリプト挿入問題を引き起こす可能性のある脆弱性が見つかったとして、 警告とともに実施例 を自身の Web サイトで示した。

各社は、脆弱性の修正に動き出しており、MasterCard は「ATM locator」機能を修正したほか、同社 Web サイトから「find a card」セクションを削除した。Natwest と WorldPay も、検索機能を修正したという。

Greenhalgh 氏が「いくつかの基本的なセキュリティホールの見落とし」を発見したことで、業務のオンライン化を進めている金融関連企業の直面するリスクが浮き彫りになった。

これまでのフィッシング攻撃はたいていの場合、ユーザーを著名サイトによく似た偽物の Web サイトに誘導するというものだったが、Greenhalgh 氏によると、新たな攻撃シナリオが登場しつつあり、金融関連企業の Web サイト内から、重要な機密金融データを盗み出す機会をクラッカーに与えかねないという。これは、SSL を用いた暗号化でセキュリティを保護していても防げない。

「クロスサイト スクリプティングの問題が単なる『危険』というレベルにとどまらないのは、本物のサイトそのものが改竄 (かいざん) を受けて、偽のコンテンツを表示してしまうからだ。(サイトそのものは本物なので) 利用者はそれが偽りの内容ということに、ほとんど気づかない」と Greenhalgh 氏は警告する。

同氏は、「驚いたことに、この種の詐欺に最も敏感なはずのサイトの一部は、いまだに同種の攻撃に対してかなり無防備だ。スクリプト挿入は、簡単に防ぐことができる。Web サイトをこれらの攻撃から保護するためには、サイト開発者が設計時にほんの少し考えをめぐらせば済む話だ」と述べた。

セキュリティ関連のサービスを手がける Netcraft は、Greenhalgh 氏の報告が、金融関連企業による、自社サイトの設計上のセキュリティ問題撲滅を促進すると評価した。



デイリーリサーチバックナンバー、コラム、セミナー情報等はこちらから
http://japan.internet.com/

デイリーでお届けする最新ITニュースメールの御購読申込はこちらから
http://japan.internet.com/mail/newsletters.html （japan.internet.com）

http://headlines.yahoo.co.jp/hl?a=20040721-00000007-inet-sci