不用意に開発された CGI に関する脆弱性と悪用コードサンプルを公表 | ScanNetSecurity
2026.03.11(水)

不用意に開発された CGI に関する脆弱性と悪用コードサンプルを公表

 ネットワークセキュリティのシンシデント専門情報サービス Scan Incident Report 誌は、みずほインベスターズ証券をはじめとする多数の web サイトの CGI に存在した脆弱性と悪用コードのサンプルおよび対処方法を発表した。

製品・サービス・業界動向 業界動向
23 views
facebookLINE
 ネットワークセキュリティのシンシデント専門情報サービス Scan Incident Report 誌は、みずほインベスターズ証券をはじめとする多数の web サイトの CGI に存在した脆弱性と悪用コードのサンプルおよび対処方法を発表した。

 このレポートは、セキュリティ問題を調査研究している office 氏によるものであり、氏がこれまでに発見したさまざまな事例とともに、問題の詳細な分析と基本的な解決方法を提示している。

 レポートによれば、CGI を悪用した場合、単にページの表示をおかしくさせるだけでなく、巧妙に偽装したログイン画面などを作り、パスワードなどを盗むことも可能である。
 さらに、こうした悪用コードは、サーバのログから犯人を追跡することが困難であり、非常に発見しにくいものとなっているとのことである。

 過去に発見された CGI に起因する同種の脆弱性には、下記のようなものがあった。

みずほ証券の web で 4,300人のパスワードなど個人情報流出の危機
(2002.4.18)
https://www.netsecurity.ne.jp/article/1/4828.html

サーバ設定のミス バーチャルホスティング約2000ドメイン情報漏洩の危険
(2002.4.24)
https://www.netsecurity.ne.jp/article/1/4913.html

日本ベリサイン 信用できない表示のままの「Secure Site シール」
(2002.3.15)
https://www.netsecurity.ne.jp/article/1/4376.html

(本レポートには、偽装コードが含まれており、偽装コードは現在も
レポートの記載してある URL で動いている)

《ScanNetSecurity》

PageTop

アクセスランキング

  1. 誤操作の発覚を恐れて委託先社員がログから記録を削除・変更したことが原因 ~ JAL「手荷物当日配送サービス」システム障害

    誤操作の発覚を恐れて委託先社員がログから記録を削除・変更したことが原因 ~ JAL「手荷物当日配送サービス」システム障害

  2. L2 スイッチでゼロトラストを実現、「セキュリティ予算」でなく「ネットワーク機器予算」で導入 ~ パイオリンクが語る超現実解

    L2 スイッチでゼロトラストを実現、「セキュリティ予算」でなく「ネットワーク機器予算」で導入 ~ パイオリンクが語る超現実解PR

  3. 厚生労働省初動対応チームの派遣を受け対応 ~ 白梅豊岡病院にランサムウェア攻撃

    厚生労働省初動対応チームの派遣を受け対応 ~ 白梅豊岡病院にランサムウェア攻撃

  4. アドバンテストのネットワークに不正アクセス、ランサムウェア展開可能性

    アドバンテストのネットワークに不正アクセス、ランサムウェア展開可能性

  5. みずほリサーチ&テクノロジーズが経済産業省から受託したアンケート情報を混在して環境省に納品、ホームページで公開

    みずほリサーチ&テクノロジーズが経済産業省から受託したアンケート情報を混在して環境省に納品、ホームページで公開

ランキングをもっと見る
PageTop
ホーム 製品・サービス・業界動向 業界動向 記事
TOP