英Netcraftは現地時間7月20日,同社が6月に警告した米PayPalのWebサイトの脆弱性(セキュリティ・ホール)は,2年間放置されていた可能性があることを明らかにした(関連記事:フィッシング詐欺に新手法)。PayPalでは同社サイトに見つかったクロスサイト・スクリプティング(XSS)の脆弱性を6月に修正したが,この脆弱性自体は2年前に第三者によって報告されていたという。
PayPalのWebサイトに見つかったようなXSS脆弱性を悪用すれば,攻撃者は細工を施したリンク(URL)をユーザーにクリックさせることで,任意のスクリプトやHTMLをユーザーのブラウザに送り込める。これにより,本物のWebサイトから偽サイトへユーザーを誘導することが可能となる。つまり,フィッシング詐欺に悪用できる。
このXSS脆弱性を突くフィッシング目的の偽メールが出回ったことで,Netcraftは脆弱性の存在を確認し,同社サイトなどで警告。これを受けてPayPalでは脆弱性を修正したとされている。
Netcraftによると,この脆弱性はあるユーザーによって2年前に発見されており,2004年6月,そのユーザーはPayPalに報告しているという。だが,対応した同社スタッフはXSS脆弱性を理解できず,この脆弱性を突く検証コードを送るという申し出に対しても,会社のポリシーで禁止されているとして断った。
そこで発見者は,自分のWebサイトにおいて,脆弱性および検証コードの詳細を公開したものの,PayPalからは連絡がなかったとしている。
今回の脆弱性を突いたフィッシングについて,同社のスポークス・パーソンは何人が被害に遭ったのかは分からないと答えたという。Netcraftでは,ログを解析すれば被害に遭ったユーザーを特定できて,適切な対応を取れただろうとしている。
