首相官邸にクロスサイトスクリプティング問題 任意のメッセージを表示可能 | ScanNetSecurity
2025.11.28(金)

首相官邸にクロスサイトスクリプティング問題 任意のメッセージを表示可能

 3月13日、首相官邸の web にクロスサイトスクリプティングの問題が発見された。

製品・サービス・業界動向 業界動向
31 views
facebookLINE
 3月13日、首相官邸の web にクロスサイトスクリプティングの問題が発見された。

首相官邸のホームページにクロスサイトスクリプティングの脆弱性
(2002.3.13)
https://www.netsecurity.ne.jp/article/1/4313.html

 その後の対処により問題は解決されたかのように見えたが、まだ問題は残っていた。
 今回発見された問題は、不正なコードを含む首相官邸へのリンクをおくことで任意のメッセージの表示が可能であった。このリンクからジャンプして手法官邸のページを訪れた利用者は、不正に仕組まれたメッセージをあたかも首相官邸のメッセージと誤認してしまう可能性がある。

 問題は、「小泉内閣メールマガジン」の登録ページにあった。
 このページではメールマガジンの読者登録の際に必要な情報を入力すると、その次の画面で入力された情報を表示して確認を求める。しかし、この画面に問題があり、不正なコードを入力することによって、任意のメッセージを画面に表示することが可能な状態になっていた。

 発見者である office 氏は、首相官邸に通報するとともに、この問題に関する偽装可能性を示すサンプルコードを作成して公開した。

office 氏が情報を公開した掲示板
http://www.office.ac/tearoom/noframe.cgi


●首相官邸の偽装URLサンプル(下記をブラウザのURLに貼ってください)
http://www.mmz.kantei.go.jp/cgi-bin/confirm.pl?mailaddress=tewt@example.com&sex=><div%20align=left><font%20size=+5><b>%A1%CE%A4%E9%A4%A4%A4%AA%A4%F3%A4%CF%A1%BC%A4%C8%A1%A1%A1%C1%A1%A1%BE%AE%C0%F4%C1%ED%CD%FD%A4%CE%A5%E1%A5%C3%A5%BB%A1%BC%A5%B8%A1%CF</b><P>%BE%AE%C0%F4%BD%E3%B0%EC%CF%BA%A4%C7%A4%B9%A1%A3<p>%B9%BD%C2%A4%B2%FE%B3%D7%A4%CE%C3%EC%A4%C8%A4%B7%A4%C6%BF%CA%A4%E1%A4%C6%A4%AD%A4%BFe-Japan%B7%D7%B2%E8%A4%C7%A4%B9%A4%AC%A1%A2%A4%B3%A4%B3%A4%C7%B8%AB%C4%BE%A4%B7%A4%F2%A4%CF%A4%AB%A4%EB%A4%B3%A4%C8%A4%CB%A4%B7%A4%DE%A4%B7%A4%BF%A1%A3%BC%F3%C1%EA%B4%B1%C5%A1%A4%CE%A5%B5%A1%BC%A5%D0%A4%CB%A4%AA%A4%A4%A4%C6%A4%B5%A4%A8%B8%C4%BF%CD%BE%F0%CA%F3%A4%F2%C5%AC%C0%DA%A4%CB%CA%DD%B8%EE%A4%C7%A4%AD%A4%CA%A4%AB%A4%C3%A4%BF%A4%C8%A4%A4%A4%A6%BB%F6%BC%C2%A4%F2%C6%A7%A4%DE%A4%A8%B1%BE%A1%B9</font></div><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br></font></div>



 一連のクロスサイトスクリプティング問題を発見したのは、office 氏は、クロスサイトスクリプティング問題に関しての調査、啓蒙活動を行っており、以前にもさまざま大手サイトの問題を発見している。

クロスサイトスクリプティング脆弱性レポートページが登場(2002.3.9)
https://www.netsecurity.ne.jp/article/1/4278.html

 クロスサイトスクリプティングは、大きな問題として取り上げられるようなったのは最近であるが、その用途や危険性には、まだ未知な部分がある。
 一部では、クッキーを使っていなければ、クロスサイトスクリプティングの危険性はないあるいはきわめて低いといった認識があるようだが、クッキーは、危険性の一部であり、その他の危険性も看過できない。
 特に、首相官邸の web に任意のメッセージを表示できることは、社会的影響の大きさから考えてもあってはならないことである。

 例えば「首相官邸から、金利についての発表がありました。いますぐ**を買いましょう」など市場に影響を与えるメッセージを偽装して、関連する商品やサービスを売りつける踏み台にすることも可能である。
 また、「確認のため再度お名前と電話番号を入力してください」というメッセージを出し、入力内容を盗むことも可能である。

(詳しくはScan および Scan Daily EXpress 本誌をご覧ください)
http://shop.vagabond.co.jp/m-ssw01.shtml
http://shop.vagabond.co.jp/m-sdx01.shtml

《ScanNetSecurity》

特集

PageTop

アクセスランキング

  1. 社員の個人保有 PC がウイルス感染、業務で使用する認証情報が流出

    社員の個人保有 PC がウイルス感染、業務で使用する認証情報が流出

  2. 15 億円の身代金要求した疑い セキュリティ企業の社員が自らランサムウェア仕掛けたか

    15 億円の身代金要求した疑い セキュリティ企業の社員が自らランサムウェア仕掛けたか

  3. 美濃工業にランサムウェア攻撃、ダークサイトでの情報漏えいの事実を確認

    美濃工業にランサムウェア攻撃、ダークサイトでの情報漏えいの事実を確認

  4. 不正アクセスで公開停止した岡山県の PR サイトが復旧

    不正アクセスで公開停止した岡山県の PR サイトが復旧

  5. バンダイチャンネルで意図せず退会となる障害

    バンダイチャンネルで意図せず退会となる障害

ランキングをもっと見る
PageTop
ホーム 製品・サービス・業界動向 業界動向 記事
TOP