« JNSA 個人情報漏洩インシデント調査結果 | Main | 総務省 インターネットオークションサイトにおける知的財産権侵害問題の改善へ »

2005.06.08

マイクロソフトのMSNのサイトでクロスサイトスクリプティングの脆弱性

 こんにちは、丸山満彦です。ウェブサイトを含むソフトウェアの脆弱性をなくすにはどうしたらよいのでしょうか?マイクロソフトのMSNウェブサイトにもクロスサイトスクリプティングの脆弱性があったようですね。

 
■CNET 2005.06.06
MSN flaw put Hotmail accounts at risk

■CNET Japan 2005.06.07
MSNサイトにクロスサイトスクリプティングの脆弱性--マイクロソフトが公表

=====
MSNサイトの「http://ilovemessenger.msn.com/」にクロスサイトスクリプティングの脆弱性が存在したことを、Microsoftの広報担当が米国時間6日に明らかにした。攻撃者はHotmailユーザーに悪質なURLをクリックさせることで、ユーザーのPCに保存されたCookieを盗み出すことを可能だったことが、同社の初期調査で判明している。攻撃者はこれを悪用して、ユーザーの電子メールアカウントにアクセスすることも可能だったと、同担当者は述べた。
(略)
 今回の件が明らかになった前の週にMicrosoftは、韓国のMSNウェブサイトがハッキングされたことを明らかにしている。この事件では、攻撃者はMSN Koreaのニュースセクションに悪質なコードが埋め込み、アジアで人気のオンラインゲーム「Lineage」のユーザーログインデータを盗み出そうとしていた。
=====

世界中で2億人のユーザーが登録しているようですね。私も登録しています。脆弱性を含まないウェブページやソフトウェアの作成はどのようにすればよいのでしょうか?
 理論的には、プログラム作成の標準化やテストを通じて可能となるのだと思いますが、その実効性を持たせるのがコストとの関係で難しいようですね。

 コスト的に難しいというのは、事故がおこっても責任をとらないのでコストが発生しない、ということがあると思います。

 本来のコスト=残留リスク(リスク顕在化時にかかるコスト)+リスク対策のためのコスト

のはずですが、残留リスクの中に被害者への補償を含んでいないため、リスク対策のためのコストを増やすと本来のコストが増えていくように見えます。リスク対策のためのコストを増やすと、それ以上に残留リスクが減少すれば全体のコストが下がるはずです(理論的には・・・)。




このブログの中の意見は私見であり、所属・関係する組織の意見ではないことをご了承ください。

|

« JNSA 個人情報漏洩インシデント調査結果 | Main | 総務省 インターネットオークションサイトにおける知的財産権侵害問題の改善へ »

Comments

Post a comment



(Not displayed with comment.)


Comments are moderated, and will not appear on this weblog until the author has approved them.



TrackBack


Listed below are links to weblogs that reference マイクロソフトのMSNのサイトでクロスサイトスクリプティングの脆弱性:

« JNSA 個人情報漏洩インシデント調査結果 | Main | 総務省 インターネットオークションサイトにおける知的財産権侵害問題の改善へ »