経済産業省は2001年10月30日,多数のECサイトなどにセキュリティ上の問題が指摘されているとして,関係団体へ対応を要請した。具体的には,「Webサイトにおけるクロスサイトスクリプティング問題への対応について」と題した通知文書を,日本情報処理開発協会,電子商取引推進協議会,情報サービス産業協会に送付。これらの団体に対し,会員企業への周知徹底を図るなどの対応を求めた。
この,クロスサイト・スクリプティングと呼ぶ問題がECサイトに広く存在することは,独立行政法人 産業技術総合研究所 主任研究員 高木浩光氏らの研究グループが2001年10月18日に公表した調査により明らかになった(関連記事)。クロスサイト・スクリプティングとは,Webアプリケーションの入出力データ・チェックの不備により,クラッカが送りつけた不正なスクリプトをユーザーに送付してしまうというもの。クロスサイト・スクリプティングにより,クラッカはユーザーのCookie情報を奪ってユーザーになりすまし,個人情報を閲覧したり,取引を行ったりできてしまう恐れがある。同研究グループが大手の銀行および証券サイトから21サイトを無作為抽出して調査したところ,91%はクロスサイト・スクリプティング対策を実施していなかった。
この問題については,2001年10月23日に情報処理振興事業協会 セキュリティセンターからも,緊急対策情報が出されている。
(高橋 信頼=日経オープンシステム)
