英Netcraftは英国時間2008年10月26日,米Yahoo!のWebサイトがクロスサイト・スクリプティング(XSS)攻撃を受け,ユーザー認証用クッキーを盗むJavaScriptコードが仕込まれたと警告した。Netcraftから報告を受けたYahoo!は対策を施し,同日遅くに問題を解決している。

 攻撃を受けたのは,求人情報検索サービス「Yahoo! HotJobs」のWebサイト。XSSのセキュリティ・ホールが存在しており,攻撃用のJavaScriptコードを挿入される隙があったという。同コードはユーザー・ログイン時に「yahoo.com」ドメインの認証用クッキーを盗み,米国内のWebサーバーに送る。

 認証用クッキーを入手した攻撃者は,Yahoo!の各種サービス用のユーザー名とパスワードを知らなくても被害者のアカウントを使用できてしまう。例えば「Yahoo! Mail」にアクセスされると,メッセージを盗み見られる恐れがある。

 Netcraftによると,以前Yahoo!の別のサイトもXSS攻撃で悪質なJavaScriptを挿入され,クッキーが盗まれる状態にあったという。

[Netcraft公式ブログへの投稿記事]