eBay、クロスサイトスクリプティング脆弱性の悪用、2017年も続く

ニュースソース:NETCRAFT

以下は 2017年2月27日に公開されたHackers still exploiting eBay’s stored XSS vulnerabilities in 2017 を要約したものです。


eBayのクロスサイトスクリプティング脆弱性を悪用してアカウント情報を盗む攻撃が問題になってから数年、同様の攻撃が再び行われていることが明らかになりました。
脆弱性を悪用した出品リストの多くは、最終的に削除されるまで、1ヶ月以上にわたりeBayのWebサイトに残っていました。

攻撃はeBayのコンテンツに悪質なスクリプトを混入できる脆弱性を悪用したもので、以前の攻撃では高級車の出品ページに悪意のあるJavaScriptを埋め込み、不正なリダイレクトコードを実行して利用者の個人情報を盗み出していました。
今回は、同様の方法で歯科用機器の出品リストを利用しており、eBay上の様々な出品物に対して攻撃が可能であることが分かっています。

攻撃者はアカウントを乗っ取って既存の出品リストに情報を追加する形で悪質なJavaScriptを埋め込んでおり、利用者がリストをクリックするとそのページに移動しページを読み込むと、即座にコードが実行され一瞬で偽装されたログインフォームにリダイレクトされてしまいます。

利用者は通常、eBayの検索結果をクリックしただけでフィッシング詐欺に遭うとは考えないため、eBayの信頼性を利用したこの攻撃は有効性が大きいといえます。
悪意のあるコードは難読化されており、eBayのコンテンツフィルタを回避している上、偽装されたログインフォームWebサイトのアドレスは確認できないため、利用者が認識しないうちに利用者の機密情報を盗み出す巧妙な仕組みになっています。

歯科用機器の例では、2016年12月8日に悪質なJavaScriptがページに追加されてから1ヵ月以上経過した2017年1月下旬まで悪用が続いていました。
攻撃を受けたアカウントには、悪質なJavaScriptに感染した数千もの出品リストがあり、明らかに悪意のある行為がeBayの監視下で1ヶ月以上放置されたことになります。
eBayのJavaScriptポリシーではリダイレクトを禁止していますが、この攻撃を長期間防げなかったことからその効果性は疑われています。

eBayは、2017年中にJavaScriptなどのアクティブコンテンツを制限し、最終的には完全にブロックする方針を明らかにしています。
これが実装された場合、最新のブラウザに対しては攻撃ができなくなるため、eBayでのスクリプトベースの攻撃は収束に向かう可能性があります。

しかし、利用者がリダイレクト攻撃を報告した際、eBay側は内部システム上で確認ができなかったという事例や、今回の攻撃を報告したイギリスのJaco Bustero氏がフォーラムで警告した内容がすぐに削除されたという主張があることから、脆弱性、詐欺行為に対するeBayの認識についても改善の余地があるかもしれません。

ページ内に任意のJavaScriptを含めることができる脆弱性が存在する限り、この種の不正行為を防ぐことは難しく、eBayの暫定措置でも対策としては不十分であることが証明されたため、最終的には JavaScriptの実行を強制的に制御する方法しかないと考えられています。