logo

米ヤフーの求人サイトに脆弱性--フィッシングに悪用が可能

文:Stephen Shankland(CNET News.com) 翻訳校正:編集部 2008年10月28日 12時39分
  • このエントリーをはてなブックマークに追加

 米YahooのHotJobsサイトにフィッシング攻撃の原因となる脆弱性がある。英国のネットワークサービス会社Netcraftが米国時間10月27日に明らかにした。この脆弱性は、攻撃者にYahooメンバーのメールや他の個人アカウントへのアクセスを可能とし、既に悪用されているという。

 フィッシングにおいて攻撃者は、実在する企業(今回の場合はYahoo HotJobs)からと思わせた偽のメールを送付する。特別に作られたJavaScriptコードを含むリンクをクリックすることで、クロスサイトスクリプティングの脆弱性により、ウェブサイトでプログラムが実行される、とNetcraftは述べる。

 「このスクリプトは、yahoo.comドメインに送られる認証クッキーを盗み、米国内にある別のウェブサイトに渡している」とNetcraftは27日に述べた。「NetcraftではYahoo対して、最新の攻撃について報告したが、本稿執筆時点においてHotJobsの脆弱性、および、スクリプトを取り入れる攻撃者のクッキーはともにまだ存在している」(Netcraftのウェブサイト)

 アップデート(太平洋夏時間午後3時44分):Yahooは、脆弱性について認めたが、修正したという。

 Yahooは、「このクロスサイトスクリプティング問題を昨日の朝(10月26日日曜日)に認識し、修正を数時間以内に適用した。同問題の特定に関するNetcraftの協力に感謝している」ことを声明で述べた。「安全措置として、心配があるユーザーにはパスワードの変更を推薦している。ユーザーには、Yahoo.comにパスワードを入力していることをSign-in Seal経由で常に確認してもらいたい」(Yahoo)

 Yahooは、影響を受けたユーザー数についてコメントを避けた。

この記事は海外CNET Networks発のニュースをシーネットネットワークスジャパン編集部が日本向けに編集したものです。海外CNET Networksの記事へ

-PR-企画特集