ニフティが運営するインターネット接続サービス「@nifty」の電子掲示板に、システム上のぜい弱性が発見された。「クロスサイト・スクリプティング(XSS)ぜい弱性」と呼ばれる問題によるもの。同社は6月20日19時から電子掲示板の一部機能を停止し、緊急メンテナンスを実施している。6月28日前後の機能復旧を目指して作業中だ(関連サイト)。
問題を放置した場合、悪意を持ったクラッカがユーザーのセッションを乗っ取り、そのパスワードを盗用したりブラウザのクラッシュを引き起こしたりする恐れがあった。
「クロスサイト・スクリプティング(XSS)ぜい弱性」の問題は、訪問者がタグ付きのメッセージを自由にフォームに書き込める電子掲示板などで発生する。クラッカは、SCRIPT、OBJECT、APPLET、EMBEDといったタグを利用し、自分のサイトにユーザーを誘導してそこにあるスクリプトを実行することができる。
今回、@niftyで問題となったのも「掲示板でのタグの使用」機能である。従来、この電子会議室ではフォントを大きくしたり、色を変えたりして表現力を増すために、ユーザーが比較的自由にタグを使うことができた。
注意深いユーザーでも騙される、ただし現在までに実害はなし
@niftyの場合、XSSぜい弱性によって以下のような問題が起こる可能性があった。あるクラッカが他の電子会議室へのリンクと見せかけて、“騙しスクリプト”を含むメッセージを書き込む。それを善意のユーザーがクリックすると、@niftyの会員認証ダイアログに見せかけた偽のダイアログが表示され、そのユーザーが打ち込んだIDとパスワードはまんまとクラッカの手に渡ってしまう。この際、セッション自体がSSLで保護されていようがいまいが関係なく、クラッカに通信の乗っ取りを許してしまうのが、この問題のたちが悪いところだ。注意深いユーザーでも、Webブラウザの鍵マークを見て安心してしまうだろう。
XSS問題への対策は、ユーザーが書き込むタグを監視するプログラムを導入するなどして、スクリプトの書き込みを制限することである。詳しくは情報処理振興事業協会(IPA)の警告文書を参照してほしい。過去にマイトリップ・ネットが運営する旅行予約サイト「旅の窓口」などでも同様の問題が発生しており、大規模サイトに潜む隠れた危険と言えよう。
昨年8月以来、ニフティはスポーツ、グルメなどさまざまな種類の「Webフォーラム」を設置し、パソコン通信の時代以来続く文字ベースの電子掲示板のWeb化を進めてきた。パソコン通信のユーザーの移行を図るためにも、Webならではの豊かな表現力を重視してきたが、今回はそれが裏目に出た格好だ。同社は10カ月以上にわたって「問題の存在に気付かなかった」(広報室)とのことだが、今年6月19日の深夜に一部のフォーラム管理者から指摘を受けると迅速に事態に対応した。現在は、書き込んだタグを正常に表示できないこと以外、電子掲示板の機能は動作しており、読み書きが可能である。
