こちらの記事は、セキュリティ専門家の松野によるニュース解説ラジオ「今日の10分セキュリティラジオ」の放送内容を文字に起こしご紹介しています。
独立行政法人情報処理推進機構(IPA)および一般社団法人JPCERT コーディネーションセンター(JPCERT/CC)は3月29日、スマートフォンアプリ「Yahoo! JAPAN」におけるクロスサイトスクリプティングの脆弱性について「Japan Vulnerability Notes(JVN)」で発表した。(記事はこちら)
【お届けするニュースはサイバーセキュリティ専門ニュースサイト「ScanNetSecurity」の提供でお送りしています。】ヤフーのスマホアプリに脆弱性が発見されています。ご利用中の方はアップデートを検討してください。発見された脆弱性であるクロスサイトスクリプティングの内容と、クロスサイトスクリプティングの被害を防ぐ方法について説明します。
今回の脆弱性は、スマートフォンアプリ「Yahoo! JAPAN」にクロスサイトスクリプティングの脆弱性が存在するというものです。影響を受けるバージョンは、Android アプリ「Yahoo! JAPAN」v2.3.1 から v3.161.1 までと、iOS アプリ「Yahoo! JAPAN」v3.2.2 から v4.109.0 までです。影響として、ユーザの端末にインストールされた他のアプリを介して、当該製品のWebView 上で任意のスクリプトが実行される可能性があるということです。
深刻度を表すCVSSv3の基本値は5.0で、3番目に高い「警告」とされています。脆弱性の詳細は、本脆弱性に割り当てられたCVE番号「CVE-2024-28895」で検索してみてください。JVNでは、開発者が提供する情報をもとに最新版へアップデートするよう呼びかけています。
クロスサイトスクリプティングはXSSとも略される、脆弱性のあるWebサイトに不正なスクリプトを挿入する攻撃です。この攻撃により、ユーザーが閲覧しているWebサイト上で悪意のあるスクリプトが実行され、個人情報の流出やマルウェア感染などの被害が発生します。
攻撃の手口として、まず攻撃者は、脆弱なWebサイトを特定し、掲示板やコメント欄など、ユーザーが入力できる箇所を利用して、悪意のあるコードの入ったスクリプトを埋め込みます。ユーザーが埋め込まれたコードを含むWebサイトを閲覧すると、スクリプトに書かれたコードが実行されます。実行されたコードによって、ユーザーの個人情報が盗まれたり、不正な操作をされたりする可能性があります。
実際に発生した被害例として、ユーザーの知らない間に、ユーザーの入力したパスワードやクレジットカード情報などが盗まれたり、不正な送金や情報の改ざんが行われたりすることがあります。また、ユーザーに偽のログイン画面などを表示して、IDやパスワードを入力させる、フィッシング詐欺に利用される場合もあります。
クロスサイトスクリプティングはWebサイトの運営者側で対策することが基本ですが、利用者側でも対策することができます。
Webサイトの運営者側ができる対策として、Webサイトへ入力されるデータのチェックを徹底することが挙げられます。また、Webサイトへ出力されるデータの中から、クロスサイトスクリプティングに悪用される特殊文字を変換することで、悪意のあるコードが実行されることを防ぎます。これらの対策には、ソースコードの修正が必要となりますので、それが難しい場合は、WAFなどのセキュリティ対策を別途導入することが挙げられます。
Webサイトの利用者側ができる対策として、クロスサイトスクリプティングの対策ができている最新のブラウザを使用したり、セキュリティソフトを導入することが挙げられます。また、不審なリンクをクリックせず、信頼できるサイトのみ利用することも、様々な被害を防ぐために必要とされます。
今日の10分セキュリティラジオにて毎週月・水・金にセキュリティの最新ニュースを取り上げ解説を行っています。隙間の時間の情報収集にぜひお役立てください!
お見積り・ご相談など、お気軽にご相談ください
サイトTOPへ
