Internet Watch logo
記事検索
最新ニュース

予告.inが不正コード被害、閲覧で2ちゃんねるに犯行予告投稿


 インターネット上の犯行予告を集積・共有するサイト「予告.in」で3日、不正なコードが埋め込まれ、トップページにアクセスすると「警視庁爆破する」という犯行予告文が、自動的に2ちゃんねるへ投稿される現象が発生した。

 この現象が発生したのは、3日午前2時18分から午前3時55分まで。犯行予告情報の投稿欄にクロスサイトスクリプティング(XSS)の脆弱性を突いた不正なコードが埋め込まれ、PCで予告.inにアクセスすると、「警視庁爆破する」というタイトル、「嘘です」という本文のスレッドが強制的に投稿され、名前欄には投稿者のプロバイダ情報(IP)が表示されていた。Internet Explorer系の描画エンジンを実装したブラウザが対象だが、携帯版のほかFirefoxではスクリプトは発動しなかったという。

 予告.inに埋め込まれた不正なコードは、特定のページに強制的にアクセスをさせることで、2ちゃんねるに犯行予告を投稿。また、動画やメールソフトを大量に立ち上げてブラウザを強制終了させていた。なお、ウイルスの混入などPCに悪影響を与えるスクリプトではないという。


投稿された内容の実例(予告.inより転載)

 予告.inでは3日午前4時ごろに利用者からの連絡を受け、すべての不正なコードを排除。さらに、一時的な対応策として、犯行予告情報の投稿をすぐに反映せず、いったん内容を確認してから反映する形式に変更した。これらの対応以降、不正コードが埋め込まれる問題は発生していないとしている。

 予告.inを運営する矢野さとる氏によれば、XSSの脆弱性が突かれた原因は、犯行予告情報の投稿欄のURL部分においてエスケープ処理(不正な文字列を無効化する処理)を行っていなかったため。その結果、悪意あるコードをURL部分に埋め込んだ場合、コードを実行させる危険性があったという。

 予告.inでは、警視庁に対して、2ちゃんねるに投稿された「警視庁爆破する」という予告は、第三者による不正なコードが原因であることを報告。さらに、予告.inに残されている犯人のIPアドレスおよび関連情報を提供し、被害届を出す意思も伝えた。警視庁ではすべての事実を把握しており、調査を行っている最中だという。


関連情報

URL
  予告inにおけるXSS脆弱性、及び被害の概要について
  http://yokoku.in/column/release/080803.php

関連記事
犯罪予告共有サイト「予告.in」、増田総務相の“発言”受け開発(2008/06/12)


( 増田 覚 )
2008/08/04 13:35

- ページの先頭へ-

INTERNET Watch ホームページ
Copyright (c) 2008 Impress Watch Corporation, an Impress Group company. All rights reserved.