ウェブサイトの悪質なコードに関する指導書を刊行 (カーネギーメロン大学)
カーネギーメロン大学のコンピュータ緊急対応チーム(CERT)は2月1日、ウェブ運営者の知らぬ間に悪意あるソフトウェア・スクリプトが投稿されネット上に蔓延する危険性に関する指導書を刊行した。
CERTの指導書によると、そのプログラムはサイトに埋め込まれた特殊な
国際
海外情報
CERTの指導書によると、そのプログラムはサイトに埋め込まれた特殊なリンクにより蔓延する。それらのリンクは、サイトがパスワードのような機密情報の収集を可能にするスクリプトや悪質なデータ、迷惑な写真などを送信するのを許してしまう。CERTは、ウェブ開発者とユーザはそのスクリプトを使って組織内の制限されたネットワークがインターネット上の攻撃者にさらされる危険性を認識すべきだと勧告した。(そのスクリプトの機能を停止させる手順は“CERTの悪質なコードに関するFAQ”、CERT's Malicious Code FAQに詳述されている)
さらに指導書は、潜在的攻撃者がウェブサイトのデータ送受信の際のセキュリティ不備を利用する危険性があると指摘し、クライアントに送り返すデータに“不審な”文字がないことを保証するためデータを検証することを勧めている。
「悪質なスクリプトの検出は困難なため、これまでCERTが直接報告を受けたことはない。我々はこの問題を理解し、そしてリスク軽減を図る防御措置のような技術情報を伝えるため作業に取り組んできた」とCERTテクニカル・コミュニケーション担当部長のBill Pollack氏が述べた。
この指導書の刊行に際し、米国防総省の統合コンピュータ・ネットワーク防御対策特別捜査班、連邦コンピュータ事件対応局(FedCIRC)、全米社会基盤防衛センター(NIPC)が参画した。
《ScanNetSecurity》