TOPIndustries > eBayの新たな脆弱性、Webサイトとして初歩的な手落ち

Industries

eBayの新たな脆弱性、Webサイトとして初歩的な手落ち

2014/06/02

Tony Bradley PC World

 今、米eBayは踏んだり蹴ったりの状況だ。サイバー攻撃で大規模なデータ流出が発生したことを同社が公表し、全ユーザーにパスワードの変更を呼びかけてから1週間足らずのうちに、また新たな脆弱性が見つかった。攻撃者にユーザーアカウントを乗っ取られる恐れのある重大な脆弱性だ。

 利用者としては、こうしたセキュリティ問題の犠牲にならないための自衛策を理解しておく必要がある。また、Webサイトを開設している企業としては、eBayの過ちを教訓として、Web上のリソースの保護策を強化する必要がある。

 今回eBayで新たに見つかったのはクロスサイトスクリプティング脆弱性で、発見者は英国の19歳の大学生だ。クロスサイトスクリプティング脆弱性を利用すると、攻撃者が通常のWebサイトに悪質なコードを埋め込むことができる。このコードを使ってユーザーのセッションCookieを手に入れることで、ユーザーアカウントを乗っ取り、そのユーザーになりすましてサイトにアクセスできるようになる。

 米Lancopeのセキュリティ調査担当ディレクター、Tom Cross氏は次のように話す。「クロスサイトスクリプティング脆弱性は、Webアプリケーションのバグとしてはきわめて一般的なもので、セキュリティ専門家はかなり以前からよく理解している。攻撃者が他人のアカウントを乗っ取ることができるため、深刻な結果をもたらすことがある」

↑ページ先頭へ