米Watchfireは，米GoogleのWebサイト「www.google.com」にクロスサイト・スクリプティング（XSS）攻撃を許すぜい弱性が存在していたと，米国時間12月21日に発表した。Watchfire社は「フィッシング攻撃に使われる恐れがあった」としている。

　このぜい弱性は，www.google.com内のエラー表示Webページを悪用すると，文字コードUTF-7によってエンコードされたスクリプトを実行できてしまうというもの。Watchfire社が11月15日に発見してGoogle社に報告した。Googole社は12月1日に修正を施し，現在は解決済みだ。

　同サイトには，Webアクセス要求をリダイレクトする際に発生したエラーを表示する「Forbidden」（403エラー）ページと，存在しないWebページへのアクセスに対するエラーを表示する「Not Found」（404エラー）ページが用意されている。Watchfire社によると，本来は文字セットのエンコーディングを強制的に指定するべきなのに，両ページでは指定していなかったという。

　Watchfire社は「両ページにはXSS攻撃でよく悪用される『<』『>』『'』といった文字を読み飛ばす仕組みが入っていたにもかかわらず，危険なスクリプトがUTF-7でエンコードされていると処理に失敗する」と指摘した。このためWebブラウザはエラー・ページを表示せず，スクリプトを実行してしまう。

　Google社は，エラーページでエンコーディングを明示的に指定することで，このXSS攻撃を行えないように対処した。

◎関連記事
■ブラウザ開発元数社がフィッシング対策のガイドライン策定で協力
■「400ドルが当たりました!」，米Googleを騙るフィッシング・サイトが出現
■「2005年8月のフィッシング・サイト数は過去最悪，ただし件数は微減」，業界団体調査
■偽のGoogle／MSN／Yahoo!に誘導するマルウエアを警告，スペインPanda Software
■「キーロガーや偽URLなど，フィッシングの手口が悪質化」，APWG
■「フィッシング目的の『サーバー乗っ取り』が増えている」――米APWG
■IEにクロスサイト・スクリプティング攻撃を許すぜい弱性，ページ偽装やCookie盗難の危険
■セキュアなWeb構築の秘訣〜クロスサイトスクリプティングは思わぬ個所に巣食っている〜(第1回)

[発表資料へ]