米US-CERTは現地時間4月3日,オークション・サービスを提供する米eBayのWebサイトにクロスサイト・スクリプティングの脆弱性(セキュリティ・ホール)が見つかったことを明らかにした。悪用されると,eBayユーザーのCookie情報を盗まれたり,偽サイト(フィッシング・サイト)へ誘導されたりする可能性がある。US-CERTでは,この脆弱性を悪用したフィッシング詐欺を確認しているという。
US-CERTによると,現在のeBayサイトでは,eBayユーザーが投稿するオークション情報にSCRIPTタグを含めることができてしまうという。このことが,eBayサイトにクロスサイト・スクリプティングの脆弱性を生じさせている。
この脆弱性を悪用すれば,攻撃者はeBayのサイトからユーザーの個人情報などを盗めてしまう。また,ユーザーをeBayの偽サイトへ誘導できる。実際,この脆弱性を悪用したフィッシング詐欺をUS-CERTでは確認している。フィッシング詐欺に悪用されると,パスワードやクレジット・カード番号などを盗まれる恐れがあるので,事態は深刻であるとしている。加えて,eBayが発行したCookieの情報を盗まれたり,破壊されたりする可能性もある。
ただし,現時点ではこの脆弱性の対策(practical solution)は存在しないという。ユーザーの心がけで回避するしかない。具体的には,「スクリプト機能(アクティブスクリプト)を無効にする」や「現在アクセスしているサイトが本物かどうかを,URLやデジタル証明などから確認する」などが回避策となる。
◎参考資料
◆Active Exploitation of Cross-site Scripting Vulnerability in eBay.com
◆Vulnerability Note VU#808921 eBay contains a cross-site scripting vulnerability
