ミッコからXSS(クロスサイトスクリプティング)に関するポストがあったばかりですが、今回はエフセキュアブログ管理人の私からも、XSSに関する記事をポストしたいと思います。
ミッコのポストは、エフセキュア本社の「f-secure.com」に関するXSSの問題とその対応でしたが、私からの報告は、今ご覧いただいているエフセキュアブログ(blog.f-secure.jp)に関するXSSとその問題に関するものです。

現在、「blog.f-secure.jp」は、株式会社ライブドアが提供している法人向け有料プランをCMSとして利用しています(文中敬称略)。

2010年1月初旬、独立行政法人 情報処理推進機構(IPA) セキュリティセンターから、エフセキュアブログのWebページにおいて、XSS(クロスサイトスクリプティング)に関する脆弱性が存在する旨の連絡を頂きました。

調査の結果、本脆弱性はエフセキュアブログ固有のものではなく、ライブドアブログ全体にかかわる脆弱性であることが判明したため、株式会社ライブドアと独立行政法人 情報処理推進機構(IPA) セキュリティセンターに対応をお任せし、最終的に2010年6月21日に修正完了の報告を受けました。

※当該セキュリティ上の問題による被害発生状況について、現在のところ、弊社では具体的な被害の報告を受けておりませんが、引き続き調査をしてまいります

エフセキュアブログは株式会社ライブドアの有料サービスを利用することで、運営を続けておりますが、セキュリティに携わる会社として、ブログ管理人として、今回の一件は重要なことだと受け止めており、今後もCMS提供企業の株式会社ライブドア、独立行政法人 情報処理推進機構(IPA)セキュリティセンター等とも密接な連絡を取りながら、サイトをより良いものにしていこうと思っておりますので、今後ともよろしくお願いいたします。

本件に関しまして、はせがわようすけさま他、多数の関係者のみなさまのご指導、及びご厚誼を賜りましたこと、改めて御礼を申し上げます。追加で情報がわかりましたら、改めて追記をしてまいります。


エフセキュアブログ管理人拝