米ヤフーの求人サイトに脆弱性--フィッシングに悪用が可能

　米YahooのHotJobsサイトにフィッシング攻撃の原因となる脆弱性がある。英国のネットワークサービス会社Netcraftが米国時間10月27日に明らかにした。この脆弱性は、攻撃者にYahooメンバーのメールや他の個人アカウントへのアクセスを可能とし、既に悪用されているという。

　フィッシングにおいて攻撃者は、実在する企業（今回の場合はYahoo HotJobs）からと思わせた偽のメールを送付する。特別に作られたJavaScriptコードを含むリンクをクリックすることで、クロスサイトスクリプティングの脆弱性により、ウェブサイトでプログラムが実行される、とNetcraftは述べる。

　「このスクリプトは、yahoo.comドメインに送られる認証クッキーを盗み、米国内にある別のウェブサイトに渡している」とNetcraftは27日に述べた。「NetcraftではYahoo対して、最新の攻撃について報告したが、本稿執筆時点においてHotJobsの脆弱性、および、スクリプトを取り入れる攻撃者のクッキーはともにまだ存在している」（Netcraftのウェブサイト）

　アップデート（太平洋夏時間午後3時44分）：Yahooは、脆弱性について認めたが、修正したという。

　Yahooは、「このクロスサイトスクリプティング問題を昨日の朝（10月26日日曜日）に認識し、修正を数時間以内に適用した。同問題の特定に関するNetcraftの協力に感謝している」ことを声明で述べた。「安全措置として、心配があるユーザーにはパスワードの変更を推薦している。ユーザーには、Yahoo.comにパスワードを入力していることをSign-in Seal経由で常に確認してもらいたい」（Yahoo）

　Yahooは、影響を受けたユーザー数についてコメントを避けた。