【トレビアン】予告inセキュリティ脆弱性を狙ったコード!?　「予告in開発者は素人」

犯行予告サイト『予告in』にセキュリティ脆弱性があるとしてクロスサイトスクリプティング (Cross Site Scripting) を利用したコードが『予告in』に貼られるという騒動が起きた。
8月2日の深夜の出来事で『Internet Exploler』（その他互換ブラウザ）でアクセスすると不正なコードが送信されるというもの。

そのコードを踏むと『２ちゃんねるニュース速報VIP』に「警視庁○○する」犯行予告として書き込まれるのだ。
それだけではなく名前欄は“fusianasan”（IP、もしくはリモートホストが表示される）、本文は「嘘です」というもの。

クロスサイトスクリプティングとはいわゆるサイトを横断したコードである。
今回は『予告in』にあるスクリプトを踏むと『２ちゃんねる』に投稿するように仕組まれたようだが、もちろん『２ちゃんねる』以外にも投稿させようと思えば出来る。

『予告in』運営側は「一時的な対応策として犯行予告の投稿時、すぐに反映するリアルタイム形式から、一旦内容を確認してから反映させる確認方式に一時的に変更」としている。

現在この不正コードは対策されているという。

今回の件について某IT企業に勤めるエンジニア（匿名）に聞いてみると、
「これは初歩中の初歩。XSSコード書いた方も10分も掛かってないよ。それを事前に対策してなかった予告inにはもっとビックリだけど、、、素人なの？」
と語る。

『予告in』側は「コードを踏んで『警視庁○○する』と投稿した人は本人の意志ではない、すべての要因はコードを開発＆埋め込んだ犯人に原因がある事」としている。

このようなスクリプトのおかげで一時的に“犯行予告を予告”するサイトになってしまった『予告in』だが、今後は今まで通り“収集・通報サイト”として頑張って欲しい。

参照：予告inにおけるXSS脆弱性、及び被害の概要について
関連記事：『字幕in』のsatoru.netから送られてきたプレス原稿がめちゃくちゃ。トレビアン記者が修正してみた！


■オススメ！　最新人気トレビアンニュース
・『BONES』主演女優 エミリー・デシャネル にインタビュー 話題のTシャツに歓喜!?
・携帯で家計簿管理が出来る便利サービス『mononon』　借金管理もできちゃうぞ！
・中国激怒！　韓国SBSが北京オリンピックの開会式リハーサル映像を放送
・ファッション雑誌のような学校のサイト!!
・興行収入歴代1位に返り咲いたバットマン！　『ダークナイト』ジャパンプレミアで観客拍手喝采
・最近のゲーマーは最後までクリアーできない？

・トレビアンニュース記事をもっと見る！