携帯版 - RSS

犯行予告の収集・通報サイト

通報一覧 - BBS - Mixi - ML - 犯行予告と刑罰 - 2chの犯行予告&IP開示 - 犯行予告逮捕者名鑑 - メディア掲載
ホーム>予告inにおけるXSS脆弱性、及び被害の概要について

2008/8/3 14:00

予告inにおけるXSS脆弱性、及び被害の概要について


被害の概要

8/3 02:18~03:55の間、犯行予告の投稿欄にXSS脆弱性を突いた不正なコードを埋め込まれ、
予告inトップへのアクセスと同時に、強制的に2ちゃんねるに、
[警視庁を爆破する 嘘です。]という犯行予告文を投稿されてしまう現象が発生しました。

※『XSS(クロスサイトスクリプティング)脆弱性』とは、Webサービスのセキュリティ上の不備を意図的に利用し、
悪意のあるスクリプトを混入させることを言います。

調査を行った結果、
『事前に犯人の用意した特定のページに強制的にアクセスをさせることで、2chに犯行予告を投稿』
『動画やメーラーを大量に立ち上げ、ブラウザを強制終了させる』といったスクリプトでした。
ウイルスの混入や、その後PCに悪影響を与えるようなスクリプトではありません

◆投稿された内容の実例


被害にあった可能性のある対象者

8/3 02:18~03:55に予告inトップにPCでアクセスした利用者。
更に、IE系の描画エンジンを実装したブラウザ(InternetExploler、Sleipnir等)を利用していたユーザ。
FireFox等では発動しないことを確認済みです。
(※携帯版の利用者には影響はありません。)

対策

同日 4:00頃、利用者からの連絡により状況を確認後、全ての不正なコードを排除しました。
また、不正なコードを送信・表示できないような対策を講じました。

また、一時的な対応策として犯行予告の投稿時、すぐに反映するリアルタイム形式から、
一旦、内容を確認してから反映させる確認方式に一時的に変更しました。

尚、対応以降、同様の問題は発生していません。

原因

犯行予告通報フォームのURL部分のエスケープ処理(不正な文字列を無効化する処理)を行っていませんでした。
結果、悪意あるコードをURL部分に埋め込んだ場合、コードを実行させる危険性が存在しました。

警視庁への連絡と被害の届け出

警視庁、および警視庁ハイテク犯罪センターに

 1. 2ちゃんねるに投稿された[警視庁を爆破する]という予告は本人の意思で投稿されていない事
 2. またそれらの犯行予告は予告inに埋め込まれた第三者による不正なコードが原因である事
 3. よって、すべての要因はコードを開発&埋め込んだ犯人に原因がある事
 4. 予告inに残されている犯人のIP、および関連する情報を提供する事

等の連絡を行い、また、必要あれば、被害届けを出したいという意思を伝えました。

※今回の問題は2chに予告文を投稿した本人が捜査対象ではなく、
あくまで今回の犯人は犯行予告投稿スクリプトを埋め込んだ人物である事を強調して伝えておきました。

尚、警視庁ではすべての事実を把握しており、調査を行っている最中との事でした。
予告inとしても、この調査に関して全面的な協力を行ってまいります。

お詫び

利用者の皆様にご迷惑をおかけしてしまい大変申し訳ございませんでした。

今後、二度と同様の問題を起こさないためにも、再度、プログラムの整備、
セキュリティ対策強化を行っていきたいと思います。

この件に関してのお問い合わせ先は yano@satoru.netまでお願いします。


サイトに関するご意見、削除依頼等のなどはこちら(矢野さとる)まで
サイト管理者と直接電話する事も可能です。電話(090-9076-6526)
予告.inや犯行予告全般に関するお話から、犯行予告をしてしまった!どうしよう…等のご相談まで。
どんな事でもお気軽にご連絡ください。予告inの開発日記はこちら

2008.6©satoru.net
Powered by TwitterAPI Yahoo!API Hatena 2ch TechnoratiAPI