MSNサイトにクロスサイトスクリプティングの脆弱性--マイクロソフトが公表

　Microsoftは、MSNウェブサイトの一部を先週末に閉鎖していたことを明らかにした。同社によると、これは、攻撃者がHotmailアカウントにアクセスすることを可能にする脆弱性が発見されたことを受けて講じられた措置だったという。

　MSNサイトの「http://ilovemessenger.msn.com/」にクロスサイトスクリプティングの脆弱性が存在したことを、Microsoftの広報担当が米国時間6日に明らかにした。攻撃者はHotmailユーザーに悪質なURLをクリックさせることで、ユーザーのPCに保存されたCookieを盗み出すことを可能だったことが、同社の初期調査で判明している。攻撃者はこれを悪用して、ユーザーの電子メールアカウントにアクセスすることも可能だったと、同担当者は述べた。

　Cookieとは、ユーザーに関するさまざまな情報を記録したファイルで、ユーザーのPC上に保存されている。Hotmailは世界的に人気の高いウェブベースの電子メールサービスで、Microsoftによると2億以上のアカウントが現在利用されているという。

　オランダ在住のプログラマAlex de Vriesがセキュリティ専門ウェブサイトNet-Forceにこのセキュリティホールに関する情報を書き込んだことを受けて、Microsoftは今回の措置を講じることとなった。

　クロスサイトスクリプティングの脆弱性は、ウェブサイトの設計上のミスによってできるものであって、ウェブブラウザの脆弱性ではない。この脆弱性は5年以上前に発見され、Microsoftはこの脆弱性を深刻なものと説明してきた。

　Microsoftによると、Hotmailユーザーは現在、同脆弱性の危険にさらされていないという。「『I Love Messenger』サイトは現在閉鎖されている」と先の担当者は電子メールのなかで述べている。このサイトからは、Microsoftが提供する無料IMサービス「MSN Messenger」用のエモティコンや背景画像をダウンロードすることが可能だった。同社によるとこのサイトは、問題が解決し次第、再開されるという。太平洋標準時6日午後の時点では、同サイトにアクセスしても、MSN Messengerサイトのトップページにリダイレクトされる。

　今回の件が明らかになった前の週にMicrosoftは、韓国のMSNウェブサイトがハッキングされたことを明らかにしている。この事件では、攻撃者はMSN Koreaのニュースセクションに悪質なコードが埋め込み、アジアで人気のオンラインゲーム「Lineage」のユーザーログインデータを盗み出そうとしていた。