英Netcraftは現地時間12月6日,米SunTrust Banksのサイトにクロスサイト・スクリプティングの脆弱性があることを指摘した。そのセキュリティ・ホールを突くフィッシングが出回っていることも確認しているという。Netcraftでは,「ネット銀行では,開発者の不注意とテスト不足が大きな問題になっている」とした上で,フィッシングなどに悪用されないサイト作りをするよう呼びかけている。
今回Netcraftが指摘したセキュリティ・ホールは,SunTrust Banksの正規のサイト(ページ)中に,任意のコンテンツ(スクリプト)を挿入できてしまうというもの。細工が施されたリンクをユーザーがクリックすると,ブラウザにはSunTrust Banksの正規のページが表示され,アドレス・バーには「http://www.suntrust.com/」から始まる正規のURLが表示される。にもかかわらず,ページ中には,偽サイトに置かれたコンテンツ(ページ部品)が,ページの一部として表示される。
ページ中に表示された偽のコンテンツでは,ユーザーにカード番号やパスワードなどを入力するように促している。ページ全体がSunTrust Banksのものだと信用してこれらを入力すると,偽のサイトへ送信される。
実は,SunTrust Banksのサイトには同様のセキュリティ・ホールが以前も見つかっている。2004年9月にNetcraftが指摘した。このとき見つかったセキュリティ・ホールも,偽サイトのコンテンツを正規のページに挿入できてしまうものだった。
Netcraftでは,「クロスサイト・スクリプティングやスクリプト・インジェクションのセキュリティ・ホールはオンライン詐欺に悪用されやすい」ことを以前から強調している。ネット銀行に限らず,個人情報を入力させるようなサイトでは,なりすましや不正なコンテンツの挿入を許さないページ作りをする必要がある(関連記事)。既にサービスを提供しているサイトでは,悪用されるようなページやWebアプリケーションが存在しないかどうか確認したい。悪用されてからでは遅い。
◎参考資料
◆SunTrust site exploited by fraudsters
◆Phishers Manipulate SunTrust Site to Steal Data
◆Bank's own developers a much bigger problem than browsers
(勝村 幸博=IT Pro)
