【ネット】URL踏むと「こんにちは こんにちは!!」 AmebaなうのCSRF脆弱性で“意図しない投稿”広がる
12月10日にPC版がスタートしたサイバーエージェントのミニブログサービス
「Amebaなう」で、あるURLをクリックすると、「こんにちは こんにちは!!」
というフレーズとクリックしたURL文字列が自動で投稿され、「はまちや2」
さんのアカウントを自動でフォローしてしまうという現象が広がった。
URLをクリックしたユーザーが意図しない機能を実行させられるWebアプリの
脆弱性の一種・クロスサイトリクエストフォージェリ(CSRF)を突いたもの。
同社は10日夜、URLをクリックしないようユーザーに告知。誤ってクリックした
場合は投稿を削除し、はまちや2さんのフォローを外すよう呼び掛けた。11日朝
までに脆弱性も修正したという。
mixiでも2005年、あるURLをクリックすると「ぼくはまちちゃん!」という日記
が勝手に投稿されるという、CSRFを利用したスパムが流通したことがあった。
コミュニティーサイト構築に詳しい専門家は、「CSRF対策は基本的なところ。
Amebaなうが対策していなかったのは意外だ」と話している。
■ソース(IT media)
http://www.itmedia.co.jp/news/articles/0912/11/news033.html
「Amebaなう」で、あるURLをクリックすると、「こんにちは こんにちは!!」
というフレーズとクリックしたURL文字列が自動で投稿され、「はまちや2」
さんのアカウントを自動でフォローしてしまうという現象が広がった。
URLをクリックしたユーザーが意図しない機能を実行させられるWebアプリの
脆弱性の一種・クロスサイトリクエストフォージェリ(CSRF)を突いたもの。
同社は10日夜、URLをクリックしないようユーザーに告知。誤ってクリックした
場合は投稿を削除し、はまちや2さんのフォローを外すよう呼び掛けた。11日朝
までに脆弱性も修正したという。
mixiでも2005年、あるURLをクリックすると「ぼくはまちちゃん!」という日記
が勝手に投稿されるという、CSRFを利用したスパムが流通したことがあった。
コミュニティーサイト構築に詳しい専門家は、「CSRF対策は基本的なところ。
Amebaなうが対策していなかったのは意外だ」と話している。
■ソース(IT media)
http://www.itmedia.co.jp/news/articles/0912/11/news033.html
|
|
|