ソニーは2003年3月3日,非接触型ICカード・リーダー「PaSoRi(パソリ)」をパソコンで使用するためのソフトウエア「FeliCa Offline Viewer」に,第三者によりパソコンを操作されてしまう可能性のあるセキュリティ・ホールがあると発表した。同時に,同社のホームページで修正プログラムの提供を開始した。
PaSoRiは,ソニーの非接触型ICカード「FeliCa」をパソコンから読み書きするための装置。FeliCaは,ビットワレットの電子マネー「Edy」や,ソニーファイナンスの電子マネー「eLIO」などで使用されているICカードである。EdyおよびeLIOをパソコンから使用するために,PaSoRi用ソフトウエアをインストールしたユーザーは,このセキュリティ・ホールの影響を受ける可能性がある。
ソニーによれば,FeliCa Offline Viewerを実行している最中に,ユーザーが危険な内容が含まれたインターネット・ホームページにアクセスした場合などに,事前の警告なく任意の命令が実行されてしまい,ユーザーの意図しないデータ書き換えや破壊,内容の流出などが起こる可能性があるという。現在のところこの危険は,一般に普及しているウイルス検知ソフトでは防ぐことができないとしている。ただし,FeliCa Offline Viewerを起動している状態でなければ,このセキュリティ・ホールを悪用される恐れはない。
問題を指摘した高木浩光氏が,セキュリティ研究者のメーリング・リストである「セキュリティホールmemoメーリング・リスト」で行った報告によれば,原因は,FeliCa Offline Viewerが内蔵するWWWサーバー・ソフトウエアに,クロスサイト・スクリプティングと呼ばれる不正アクセスへの対策が不十分だったことにある。
クロスサイト・スクリプティングとは,WebサーバーやWebプリケーションに,入力データとして不正なスクリプトを与え,それをユーザーに送信させる不正アクセスの手法。不正なスクリプトが標的のWebサーバーからのものとして実行されるために,標的サイトのセキュリティ・レベルでスクリプトが実行されてしまう。FeliCa Offline Viewerはパソコン上で動作しているため,例えばInternet Explorerであれば,「インターネット・ゾーン」のセキュリティ・レベルではなく,より制限の緩い「イントラネット・ゾーン」のセキュリティ・レベルでスクリプトが実行されてしまう。
