独立行政法人 産業技術総合研究所 情報処理研究部門 主任研究員 高木浩光氏らのセキュリティ研究グループは2001年10月18日,きわめて多数のEC(電子商取引)サイトに,他人によるなりすましや個人情報漏えいにつながるセキュリティ・ホールが存在するとの調査結果を掲載した論文を公表した。
研究グループはクロスサイト・スクリプティングと呼ばれる不正アクセス手法について,実際のECサイトで対策が施されているかどうかを検証した。まず研究グループがアカウントを持っていたサイトについて調査したところ,調査したうちの半数近い8サイトで,他人によるなりすましや個人情報の閲覧が可能なことを発見した(対象サイトには既に通知し,修正済み)。また,無作為抽出による調査も行った。実際になりすましや情報閲覧が可能かどうかまでは検証していないが,銀行および証券サイトのうちの9割以上がクロスサイト・スクリプティング対策を行っていなかった。クロスサイト・スクリプティングは2000年2月に米CERT/CC(コンピュータ緊急対応センター)などから勧告が出された比較的新しい不正アクセス手法であり,その存在や危険性が周知されていないことが,このような事態を招いているとみられる。
クロスサイト・スクリプティングとは,WWWサイトでのデータ・チェックが不十分なため,クラッカが送り込んだ不正なスクリプトをユーザーのWWWブラウザに送信してしまうという問題である。ユーザーのWWWブラウザは,不正なスクリプトをWWWサイトから送られてきたスクリプトと判断してしまうため,WWWサイトが発行したCookie情報をクラッカに送信するスクリプトなどを実行してしまう。WWWサイトがCookie情報だけでユーザーを認証している場合,クラッカは盗み出したCookie情報を使ってユーザーになりすまし,注文を出したり個人情報を盗み見たりできてしまうのである。また,ユーザーがそのWWWサイトを「信頼する」と設定している場合,不正なActiveXコントロールを実行してパソコンの情報を盗み出したり使用不能にしたりすることも可能だ(参考資料)。
研究グループのメンバーが,会員となっていたサイトを調査したのは,2001年1月から2月にかけてである。8サイトでクロスサイト・スクリプティングによるCookie情報の盗み出し,およびそのCookie情報を使ったなりすましによる情報の盗み見,または注文などのサービスの利用が可能であることを確認した。サイトの内訳は,パソコンのサポート・サイト,ミドルウエア製品の紹介サイト,家庭用ゲーム販売サイト,検索エンジン系ポータル・サイト,出版社の通信販売サイト,大規模ショッピング・モール,オンライン証券取引サイトである。これらのサイトには研究グループが通知し,既に対策が施されている。
無作為抽出による調査は,2001年7月に行った。この調査では,クロスサイト・スクリプティングによるスクリプト実行が可能かどうかだけを調査した。すべてのサイトについてアカウントを取得することは困難だったため,Cookie情報の盗み出しやなりすましが可能かどうかは調べていない。社団法人 日本通信販売協会のオンラインマークを取得したサイトから25サイトを抽出して調査したところ,少なくとも21サイトすなわち84%はクロスサイト・スクリプティング対策を施していなかった。財団法人 日本情報処理開発協会のプライバシーマークを取得しているサイトからも25サイトを抽出し,調査したところ,少なくとも17サイトすなわち68%はクロスサイト・スクリプティングに未対策だった。また,大手の銀行および証券サイトから23サイトを抽出して調査した結果,少なくとも21サイトすなわち91%はクロスサイト・スクリプティングが対策を実施していなかった。
クロスサイト・スクリプティングを防ぐために行うべきことはいくつかある。まず,(1)Webアプリケーションが,スクリプトをデータとして受け取ったり出力したりしないようにすること。次に,(2)WWWサーバー・ソフトウエアやWebアプリケーション・サーバー・ソフトウエアのセキュリティ・ホール情報を確認し,必要があればパッチを適用すること。研究グループは米Lotus DevelopmentのDomino,Apache ProjectのTomcat,米MacromediaのJRun,米IBMのWebSphere Application Serverなどにクロスサイト・スクリプティングを実行される問題があることを発見し,各ベンダーに通知,現在では,これらの製品には問題を修正するパッチまたは新バージョンが提供されている。また,Apacheや米MicrosoftのInternet Information Server/Services,米iPlanet E-Commerce SolutionsのNetscape Enterprise Serverの過去のバージョンにもこの問題が存在していたので注意されたい。さらに,(3)Cookie情報が漏えいしてしまう場合に備え,セッション終了後は無効になるランダムなデータをCookieに使うなど,安全な使用方法を守る。最後に,(4)ユーザーができる自衛策としては,ECサイトにログインしている間に不審なサイトを訪問したり,怪しいHTMLメールを開いたりしないようにする。以上の対策の詳細も同論文で解説されている。
