【予告in】XSS脆弱性を突いた不正なコードを埋め込まれ、攻撃された件でお詫び

1 名前：茶色いＧφ ★ [2008/08/04(月) 04:35:15 ]

被害の概要

8/3 02:18〜03:55の間、犯行予告の投稿欄にXSS脆弱性を突いた不正なコードを埋め込まれ、
予告inへのアクセスと同時に、[警視庁を爆破する]という犯行予告文を、
強制的に２ちゃんねるに投稿されてしまう現象が発生しました。

※『XSS(クロスサイトスクリプティング)脆弱性』とは、Webサービスのセキュリティ上の不備を意図的に利用し、
悪意のあるスクリプトを混入させることを言います。

『事前に犯人の用意した特定のページに強制的にアクセスをさせることで、2chに一定の文字列を投稿』
『動画、メーラーを大量に立ち上げ、ブラウザを強制終了させる』といったスクリプトでしたので、
ウイルスの混入や、その後の悪影響等はありません。


被害にあった可能性のある対象者

8/3 02:18〜03:55に予告inトップにPCでアクセスした利用者。
更に、IE系の描画エンジンを実装したブラウザ(InternetExploler、Sleipnir等)を利用していたユーザ。
FireFox等では発動しないことを確認済みです。
(※携帯版の利用者には影響はありません。)


（中略）


お詫び

利用者の皆様にご迷惑をおかけしてしまい大変申し訳ございませんでした。

今後、二度と同様の問題を起こさないためにも、再度、プログラムの整備、
セキュリティ対策強化を行っていきたいと思います。
http://yokoku.in/column/release/080803.php

[ 続きを読む ] / [ 携帯版 ]

read.cgi ver5.27 [feat.BBS2 +1.6] / e.0.2 (02/09/03) ...の不正改造版ｱﾋｬｰﾘ
担当:Smilegreen