企業がクロスサイト・スクリプティング(XSS)攻撃を受けた場合、その出来事の重大性を軽視するのは自然な反応だ。
結局、サイトのXSS脆弱性は、そのサイトがハッキングされるとか、シャットダウンされる可能性があることを意味しないのだから。典型的なXSSデモンストレーションにより、どこかよそのサイトで奇妙なダイアログ・ボックスが表示されているのを見るにつけても、このような攻撃は非常に無害そうな感じがする。
しかし、XSSは無害ではない。昨夜、我々は攻撃を受けた。そしてそれを軽視したいとは思わない。
「f-secure.com」の脆弱性は、セキュリティ研究者Xylitolにより発見された。彼は昨夜、それを報告した。Xylitolは、「army.mil」「ibm.com」「nasa.gov」といったサイトのXSS脆弱性の発見で広く知られている。
問題が発見されたのは、エフセキュアの「Mobile Anti-Theft」製品(anti-theft-download-wizard.html)のダウンロードページだ。巧妙に調整することで、エフセキュア・サイトを指し示しているものの、クリックすると攻撃者によりコントロールされたJavaScriptを実行するWebリンクを作成することが可能だった。
上の画像は、修正以前にwww.f-secure.com/en_EMEA/products/mobile/anti-theft-download/anti-theft-download-wizard.html?hidManufacturer=%27%22%3E%3C/title%3E%3Cscript%3Ealert%28/Mikko%20rulz/%29%3C/script%3Eにアクセスした結果だ。スクリーンショットは「xssed.net」から。
我々はほぼ、きちんとやっていた。実際、我々のページのスクリプトは、制御文字と他の危険なコンテンツをうまくフィルタリングしている。しかし残念なことに、「ほぼ」は有効ではない。我々はフィルタリングを一度は正しく行い、一度は失敗している。
明らかに、我々はこのページに後から思いついて機能を追加した。そしてその機能に対して、コード・レビューやテストが行われなかったのだ。
この問題は、現在フィックスされている。これは我々のスタティックな「Mobile Anti-Theft」ページのみの問題で、我々のシステムにアクセスされることは一切無かった。この問題は、いかなる有害なアクティビティにも用いられていない。
では、この脆弱性を利用して、どんなことが行われる可能性があったのだろうか? そう、たとえば、「www.f-secure.com」サイトにリンクして、エフセキュアからのものであると主張する、スパム・キャンペーンを何者かが送信することができただろう。そしてそのリンクをクリックすると、(どこか別のサイトから)ユーザのコンピュータ上に、マルウェアがダウンロードされていたかもしれない。XSS脆弱性は、深刻な問題を生じさせるのに利用することができる。幸運にも、今回のケースでは、何事も起こらなかったが。
以下は、今回の事件のタイムラインだ:
• Xylitolが6月17日の夕方、この問題に関する記事を発表した。
• 我々は6月17日20時51分(東ヨーロッパ夏時間)、同記事に気付いた。
• 6月18日2時15分(東ヨーロッパ夏時間)、この問題の修正を開始。
• 6月18日2時45分(東ヨーロッパ時間)、問題の修正と分離のため、「Mobile Anti-Theft」ページを一時的にシャットダウン。
• 6月18日6時5分(東ヨーロッパ時間)、同ページを再公開。
結局、サイトのXSS脆弱性は、そのサイトがハッキングされるとか、シャットダウンされる可能性があることを意味しないのだから。典型的なXSSデモンストレーションにより、どこかよそのサイトで奇妙なダイアログ・ボックスが表示されているのを見るにつけても、このような攻撃は非常に無害そうな感じがする。
しかし、XSSは無害ではない。昨夜、我々は攻撃を受けた。そしてそれを軽視したいとは思わない。
「f-secure.com」の脆弱性は、セキュリティ研究者Xylitolにより発見された。彼は昨夜、それを報告した。Xylitolは、「army.mil」「ibm.com」「nasa.gov」といったサイトのXSS脆弱性の発見で広く知られている。
問題が発見されたのは、エフセキュアの「Mobile Anti-Theft」製品(anti-theft-download-wizard.html)のダウンロードページだ。巧妙に調整することで、エフセキュア・サイトを指し示しているものの、クリックすると攻撃者によりコントロールされたJavaScriptを実行するWebリンクを作成することが可能だった。
上の画像は、修正以前にwww.f-secure.com/en_EMEA/products/mobile/anti-theft-download/anti-theft-download-wizard.html?hidManufacturer=%27%22%3E%3C/title%3E%3Cscript%3Ealert%28/Mikko%20rulz/%29%3C/script%3Eにアクセスした結果だ。スクリーンショットは「xssed.net」から。
我々はほぼ、きちんとやっていた。実際、我々のページのスクリプトは、制御文字と他の危険なコンテンツをうまくフィルタリングしている。しかし残念なことに、「ほぼ」は有効ではない。我々はフィルタリングを一度は正しく行い、一度は失敗している。
明らかに、我々はこのページに後から思いついて機能を追加した。そしてその機能に対して、コード・レビューやテストが行われなかったのだ。
この問題は、現在フィックスされている。これは我々のスタティックな「Mobile Anti-Theft」ページのみの問題で、我々のシステムにアクセスされることは一切無かった。この問題は、いかなる有害なアクティビティにも用いられていない。
では、この脆弱性を利用して、どんなことが行われる可能性があったのだろうか? そう、たとえば、「www.f-secure.com」サイトにリンクして、エフセキュアからのものであると主張する、スパム・キャンペーンを何者かが送信することができただろう。そしてそのリンクをクリックすると、(どこか別のサイトから)ユーザのコンピュータ上に、マルウェアがダウンロードされていたかもしれない。XSS脆弱性は、深刻な問題を生じさせるのに利用することができる。幸運にも、今回のケースでは、何事も起こらなかったが。
以下は、今回の事件のタイムラインだ:
• Xylitolが6月17日の夕方、この問題に関する記事を発表した。
• 我々は6月17日20時51分(東ヨーロッパ夏時間)、同記事に気付いた。
• 6月18日2時15分(東ヨーロッパ夏時間)、この問題の修正を開始。
• 6月18日2時45分(東ヨーロッパ時間)、問題の修正と分離のため、「Mobile Anti-Theft」ページを一時的にシャットダウン。
• 6月18日6時5分(東ヨーロッパ時間)、同ページを再公開。
