【セキュリティー】

ユーザーのcookieが第三者に送信される可能性

IPA、「クロスサイトスクリプティング脆弱性」を警告

■URL
http://www.ipa.go.jp/security/ciadr/20011023css.html
http://www.microsoft.com/japan/technet/security/crsstqs.asp (マイクロソフトの自衛方法解説ページ)
http://www.microsoft.com/japan/technet/security/crsstfaq.asp (マイクロソフトの対策方法解説ページ)

 情報処理振興事業協会(IPA)は、現在運営されているWebサービスにおいて、「クロスサイトスクリプティング脆弱性」に対する対策が不十分であることを指摘し、警告を行なった。クロスサイトスクリプティング脆弱性は、MicrosoftやUNIX系などOS自体の脆弱性ではないので、大部分のWebサイトにおいてその危険性が指摘されている。

 クロスサイトスクリプティング脆弱性は、2000年2月にCERT/CCとMicrosoftによりセキュリティー勧告として発表されたが、発表から1年半経過した現在でも、多くのWebサービス(ショッピングサイト、銀行など)が対策を行なっていない。これは、産業技術総合研究所 高木 浩光氏の調査発表により明らかになったものだ。IPAによると「この調査発表によりIPAは非常に警戒感を持ち、広く警告を行なう為に今回の警告を行なうに至った」という。

 この脆弱性はベンダー製品の欠陥が原因ではなく、ある一般的なWebコーディング方法のミスが原因で発生する。この脆弱性を用いることにより、対策のとられていないWebサイトにアクセスすることで、ユーザーの「cookie」が第三者に送信される可能性が発生する。このcookieが、Webサイト上で認証やセッション管理に用いられていた場合、第三者がこのユーザーになりすましてWebサイトにアクセスできることから、クレジットカード番号などの重要な情報が漏洩する危険性が発生する。

 この脆弱性に対する解決策として、サイト管理者はコードを再検討し、セキュリティー上安全なコーディング方法に従っているかどうか確認することが必要となる。詳細な回避方法は、マイクロソフトのページにて解説されている。

 日頃Webサイトを閲覧するユーザーは、Webブラウザーの「cookie」の設定を再度見直すことが必要だ。IPAは「Webブラウザーの『cookieマネージャー』などで設定内容を見直し、セッション情報などの利用方法についても意識改革が必要だ」と警告している。

(2001/10/24)

[Reported by otsu-j@impress.co.jp]


INTERNET Watchホームページ

INTERNET Watchグループinternet-watch-info@impress.co.jp