個人情報保護対策−企業・団体のための個人情報保護支援サイト

  • トップページ
  • 設立の目的
  • 活動基本方針
  • 事業概要
  • 会員の種類及び入会条件
  • 会員特典
  • 資料請求
会員特典
  • ロゴのダウンロード
  • 弁護士への相談
  • PiiPシール
  • 模擬試験ID

  • 過去問題集
  • PiiPバッジ購入
  • 書籍購入
  • 講習会申込
 

 

米eBayのWebサイトにクロスサイト・スクリプティングのセキュリティ・ホール
 

被害者を実在する銀行やショッピングサイトなどとそっくりな“罠のサイト”に誘い込む「フィッシング詐欺の増加が問題になっていますが、オークション・サービスを提供する米eBayのWebサイトにクロスサイト・スクリプティングのセキュリティ・ホールが見つかったと、米US-CERTが4月3日、明らかにしました。悪用されると,eBayユーザーのCookie情報を盗まれたり,フィッシング・サイトへ誘導されたりする可能性があるということです。

これはeBayユーザーが投稿するオークション情報にスクリプトタグを含めることができてしまうということで、この脆弱性を悪用すれば,攻撃者はeBayのサイトからユーザーの個人情報などを盗めてしまい、実際にこの脆弱性を悪用したフィッシング詐欺をUS-CERTでは確認しているとのことです。

回避策としては、「スクリプト機能(アクティブスクリプト)を無効にする」や「現在アクセスしているサイトが本物かどうかを,URLやデジタル証明などから確認する」などだということです。