情報処理推進機構(IPA)は1日、IPAが開催するセミナーの参加者を募集する受付フォームにおいて、クロスサイトスクリプティングの脆弱性が発見されたことを明らかにした。この脆弱性が悪用された場合、受付フォームで申し込んだ利用者のブラウザ上で、不正なスクリプトが実行される恐れがあった。現在までに、被害は確認されていないとしている。
脆弱性が見つかったのは、2月28日に開催する「暗号モジュール試験及び認証制度並びに要求事項の紹介セミナー」の受付フォームで、1月26日午後2時から31日午前11時まで公開されていた。IPAでは31日午前11時に、受付フォームのWebページを閉鎖した。IPAが脆弱性を確認した時には、セミナーの申込者は募集定員(70人)を超えていたという。
この脆弱性による影響としては、1)悪意のあるWebページやメールなどから誘導されて当該受付フォームを閲覧しようとした時に偽のページが表示される、2)悪意のあるWebページやメールなどから誘導されて当該受付フォームに入力した当該ページの情報が他のサイトへ送信される――などが考えられるという。
ただし、「暗号モジュール試験及び認証制度並びに要求事項の紹介セミナー開催案内」のページを経由して、受付フォームを閲覧・申し込んだ利用者は影響は受けないとしている。
関連情報
■URL
重要なお知らせ
http://www.ipa.go.jp/about/juyou/20070201.html
■関連記事
・ 日本ブログ協会、会員登録フォームに脆弱性が発見され受付を一時中断(2006/03/03)
( 増田 覚 )
2007/02/02 15:33
- ページの先頭へ-
|