ヤフーからの通知を装った日本語フィッシングで何が起きていたか (高木浩光@自宅の日記)
この問題は、
- Web メールを使用し
- 特定の html メールを受信し
- そこに記載されている JavaScript つきのリンクをクリックすると
- XSS の脆弱性により JavaScript が実行されてしまう。
という問題のようです。
氏曰く、
本来ならば、HTMLメール中に書かれたJavaScriptが実行されるようなことがあってはならない。
と述べています。これは
Webメールのほとんどは、cookieによりセッション追跡(同じ人からのアクセスであることを判別)しているため、もし、メールに書かれたJavaScriptが実行されるなら、cookieを盗み出すことができてしまうため、セッションハイジャック攻撃により、メールを盗み読まれる危険があることになる。
と言うような理由があるためです。
記事を読んでみましたが正直「うわ」としか思えない内容にびっくりしました。
XSS の脆弱性はここまで恐ろしいんですね・・・。
もはや多少パソコンの知識があるから安心、なんて言ってられません。ちょっとでも「おや?」と思う場合、すぐ JavaScript の実行を止めてください。できれば、今すぐに。