編集部からのお知らせ
(記事集)ニューノーマルで伸びる業界
「ニューノーマルとIT」新着記事一覧

MSNサイトにクロスサイトスクリプティングの脆弱性--マイクロソフトが公表

Joris Evers(CNET News.com)

2005-06-07 15:48

 Microsoftは、MSNウェブサイトの一部を先週末に閉鎖していたことを明らかにした。同社によると、これは、攻撃者がHotmailアカウントにアクセスすることを可能にする脆弱性が発見されたことを受けて講じられた措置だったという。

 MSNサイトの「http://ilovemessenger.msn.com/」にクロスサイトスクリプティングの脆弱性が存在したことを、Microsoftの広報担当が米国時間6日に明らかにした。攻撃者はHotmailユーザーに悪質なURLをクリックさせることで、ユーザーのPCに保存されたCookieを盗み出すことを可能だったことが、同社の初期調査で判明している。攻撃者はこれを悪用して、ユーザーの電子メールアカウントにアクセスすることも可能だったと、同担当者は述べた。

 Cookieとは、ユーザーに関するさまざまな情報を記録したファイルで、ユーザーのPC上に保存されている。Hotmailは世界的に人気の高いウェブベースの電子メールサービスで、Microsoftによると2億以上のアカウントが現在利用されているという。

 オランダ在住のプログラマAlex de Vriesがセキュリティ専門ウェブサイトNet-Forceにこのセキュリティホールに関する情報を書き込んだことを受けて、Microsoftは今回の措置を講じることとなった。

 クロスサイトスクリプティングの脆弱性は、ウェブサイトの設計上のミスによってできるものであって、ウェブブラウザの脆弱性ではない。この脆弱性は5年以上前に発見され、Microsoftはこの脆弱性を深刻なものと説明してきた。

 Microsoftによると、Hotmailユーザーは現在、同脆弱性の危険にさらされていないという。「『I Love Messenger』サイトは現在閉鎖されている」と先の担当者は電子メールのなかで述べている。このサイトからは、Microsoftが提供する無料IMサービス「MSN Messenger」用のエモティコンや背景画像をダウンロードすることが可能だった。同社によるとこのサイトは、問題が解決し次第、再開されるという。太平洋標準時6日午後の時点では、同サイトにアクセスしても、MSN Messengerサイトのトップページにリダイレクトされる。

 今回の件が明らかになった前の週にMicrosoftは、韓国のMSNウェブサイトがハッキングされたことを明らかにしている。この事件では、攻撃者はMSN Koreaのニュースセクションに悪質なコードが埋め込み、アジアで人気のオンラインゲーム「Lineage」のユーザーログインデータを盗み出そうとしていた。

この記事は海外CNET Networks発のニュースを編集部が日本向けに編集したものです。海外CNET Networksの記事へ

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

特集

CIO

モバイル

セキュリティ

スペシャル

ホワイトペーパー

新着

ランキング

  1. 運用管理

    ファイルサーバ管理のコツはここにあり!「無法状態」から脱出するプロセスを徹底解説

  2. クラウドコンピューティング

    社員の生産性を約2倍まで向上、注目の企業事例から学ぶDX成功のポイント

  3. コミュニケーション

    真の顧客理解でCX向上を実現、いまさら聞けない「データドリブンマーケティング」入門

  4. ビジネスアプリケーション

    デメリットも把握しなければテレワークは失敗に?─LIXIL等に学ぶ導入ステップや運用のコツ

  5. 運用管理

    ニューノーマルな働き方を支えるセキュリティ-曖昧になる境界に変わらなくてはならないデータセンター運用

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNet Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]