Yahoo! が『HotJobs』の脆弱性を修正

何千人にもおよびかねない個人情報窃盗の被害を防ぐため、Yahoo! の技術陣は、数千名もの登録数を数える大手オンライン求人情報サービス サイトの1つ『Yahoo! HotJobs』における脆弱性を修正した。

HotJobs に存在した問題は、クロスサイト スクリプティング (XSS) の脆弱性で、インターネットに関する調査や評価サービスを手がける Netcraft が発見し、26日に Yahoo! に報告された。Netcraft によると、同社は今年初めに Yahoo !の「ychat.help.yahoo.com」サイトで同様の欠陥を発見したという。

どちらの場合も、攻撃者はビジターの認証クッキーを盗むため、悪意のある JavaScript コードを挿入している。Netcraft によると、攻撃者はクッキーを利用し、被害者の『Yahoo! Mail』アカウントや、Yahoo! のドメイン内でクッキーを使用するすべてのアカウントにアクセスできたという。

JavaScript にはグローバル オブジェクトが存在し、これがすべての XSS 攻撃の根本的な原因になっていると専門家は語る。XSS 攻撃と SQL インジェクション攻撃を合わせると、Web サイトに対する攻撃全体のおよそ60％を占める格好だ。

セキュリティ製品ベンダー Breach Security のアプリケーション セキュリティ担当ディレクタ Ryan Barnett 氏によると、悪意のある JavaScript は、被害者が個人情報を露出するアカウントにアクセスするまで、被害者のブラウザ設定で休止状態を保ち、ユーザーの行動を監視できるという。そして、ユーザーがアカウントにアクセスした時点で、スクリプトは個人情報や銀行口座に関するデータを盗み、それを攻撃者の Web サイトに送信する。

Barnett 氏は取材に対し、「ユーザーのブラウザでヘッダとして読み込まれる機会を増やすため、クラッカーがデータベースに挿入を試みている JavaScript は更新を重ねてきた」と語り、クラッカーの手口が時間とともに巧妙化していることを説明した。

Yahoo! が取材に対して返答した Eメールによると、HotJobs サイトにおける脆弱性は数時間以内で修正したという。Yahoo! はユーザーに対し、念のためにパスワードを変更するよう推奨している。