スクリプトを埋め込まれた動画ページの例(米SANS Instituteの情報から引用)。アクセスするだけで、偽のニュース記事を記載したダイアログが表示された
スクリプトを埋め込まれた動画ページの例(米SANS Instituteの情報から引用)。アクセスするだけで、偽のニュース記事を記載したダイアログが表示された
[画像のクリックで拡大表示]

 セキュリティ企業や組織は2010年7月5日、動画共有サイト「YouTube」に脆弱(ぜいじゃく)性が見つかったことを明らかにした。コメント欄にスクリプトを埋め込んで、アクセスしたユーザーに実行させることができた。現在では修正済み。

 YouTubeのコメント欄には、入力された<script>タグなどを適切に処理できない脆弱性が見つかった。通常、Webページのコメント欄などでは、<script>タグなどが書かれた場合にはエンコード処理した上で出力し、HTMLタグとしては解釈されないようする。

 YouTubeのコメント欄でも同様の処理をしていたものの不十分だった。<script>タグを続けて記述されると、最初のタグはエンコード処理するものの、2番目以降の<script>タグは処理されず有効になったという。このため、誰でも簡単にスクリプトを埋め込めた。

 実際、2010年7月4日から7月5日にかけて、この手口が公表され、多数の動画ページに悪質なスクリプトが埋め込まれた。スクリプトが埋め込まれたページにアクセスすると、偽のニュース記事やエラーメッセージが表示されたり、悪質なサイトなどにリダイレクトされたりした(図)。

 セキュリティ組織の米SANS Instituteによれば、今回のような脆弱性を悪用すれば、Cookieの情報を盗んだり、偽のログインページを表示したりすることも可能なので、深刻な被害をもたらす危険性があるという。

 SANS Instituteや英ソフォスなどによれば、今回の脆弱性は解消済み。YouTubeを運営する米グーグルでは、同様の問題が発生することを防ぐために、引き続き調査しているとコメントしたという。