同サイトにクロスサイトスクリプティング(XSS)の脆弱性があったことから、投稿欄から不正なコードが埋め込まれたもの。すでに不正なコードは削除されていますが、コードが埋め込まれていた8月3日2時18分から3時55分までに同サイトを閲覧した場合、被害を受けた可能性があるそうです。
◆ITニュースランキングで最新記事を見る
◆予告.in不正コード被害についての詳細情報 ⇒
パソコンで予告.inにアクセスすると、「警視庁爆破する」というタイトル、「嘘です」という本文のスレッドが強制的に投稿され、名前欄には投稿者のプロバイダ情報(IP)が表示されていました。Internet Explorer系の描画エンジンを実装したブラウザが対象ですが、携帯版のほかFirefoxではスクリプトは発動しなかったとのことです。
予告.inに埋め込まれた不正なコードは、特定のページに強制的にアクセスをさせることで、2ちゃんねるに犯行予告を投稿。また、動画やメールソフトを大量に立ち上げてブラウザを強制終了させていました。なお、ウイルスの混入などPCに悪影響を与えるスクリプトではないそうです。
運営者の矢野さとる氏は「利用者の皆様にご迷惑をおかけして大変申し訳ございませんでした」と謝罪し、プログラムの整備やセキュリティー対策強化を行っていくとしています。
予告.inにはしばらくアクセスしていなかったので、被害に遭うことはありませんでしたが、他のサイトやブログなどでも、このような脆弱性がないようにしっかり対策を行って欲しいと思います。
□関連サイト
■予告.in
■予告inにおけるXSS脆弱性、及び被害の概要について
□参考記事
■「予告.in」に不正コード埋め込み 閲覧すると2chに犯行予告投稿
■予告.inが不正コード被害、閲覧で2ちゃんねるに犯行予告投稿
■犯行予告情報サイト「予告in」に不正コード - 「閲覧で犯行予告投稿の可能性」
□関連記事
■「予告.in」ネット上の犯行予告集積・共有サービス
