ネット上の犯罪予告の収集と通報を目的としたサイト「予告.in」に3日、不正コードが埋め込まれ、同サイトを閲覧するだけで、「2ちゃんねる」の「ニュース速報(VIP)」板に「警視庁爆破する」というスレッドを立て、「嘘です」というメッセージが投稿されてしまうという事態が起きていた。
同サイトによると、問題が発生したのは3日午前2時18分から3時55分の間で、同日4時頃に利用者からの連絡があり発覚した。同サイトの管理者は状況を確認後、全ての不正コードを削除し、現在は同様の問題は発生していないという。
被害を受けた可能性があるのは、該当時間帯に同サイトにInternet ExplolerやSleipnirなどを利用してアクセスしたユーザー。Firefoxなどのブラウザや携帯版の利用者には影響はないことが確認されている。
原因は、同サイトの投稿のURL欄にあった。不正文字列を無効化する処理が行われておらず、タグを埋め込むことができるようになっていたため、同欄に不正なiframeタグが埋め込まれてしまった。
同サイトでは最新の投稿がトップページに表示されるので、不正コードが埋め込まれた投稿が行われた直後の時間帯にトップページにアクセスすると、ブラウザが埋め込みに成功したURLを開こうとする。このURLにアクセスすると302エラーが表示され、別サイトのページにリダイレクトされる。
リダイレクト先は2種類あり、1つにはFlash PlayerのActionScriptを使用して2ちゃんねるに投稿するSWFファイルが仕掛けられていた。他方には、動画やメーラーを大量に立ち上げてブラウザを強制終了させるブラウザクラッシャーが仕掛けられていた。
問題のSWFファイルのパラメーターには、投稿先サーバ(yutori.2ch.net)や板名(news4vip)、スレッド名(警視庁爆破する)、メッセージ(嘘です)、メールアドレス(age)が指定されていた。投稿者名は「fusianasan」で指定されていたため、投稿には投稿者のリモートホスト名が表示された。当編集部がカウントしたところ、2ちゃんねるの当該掲示板には、1時間あまりで100を超える爆破予告が投稿されていた。
同サイトから警視庁に、強制的に投稿された犯罪予告は本人の意思で投稿されたものではないことは連絡済みで、警視庁も事態を把握しているという。
(2008/08/05 ネットセキュリティニュース)
■予告inにおけるXSS脆弱性、及び被害の概要について(予告.in)
http://yokoku.in/column/release/080803.php