英Netcraftは現地時間7月20日,同社が6月に警告した米PayPalのWebサイトの脆弱性(セキュリティ・ホール)は,2年間放置されていた可能性があることを明らかにした(関連記事:フィッシング詐欺に新手法)。PayPalでは同社サイトに見つかったクロスサイト・スクリプティング(XSS)の脆弱性を6月に修正したが,この脆弱性自体は2年前に第三者によって報告されていたという。 PayPalのWebサイトに見つかったようなXSS脆弱性を悪用すれば,攻撃者は細工を施したリンク(URL)をユーザーにクリックさせることで,任意のスクリプトやHTMLをユーザーのブラウザに送り込める。これにより,本物のWebサイトから偽サイトへユーザーを誘導することが可能となる。つまり,フィッシング詐欺に悪用できる。 このXSS脆弱性を突くフィッシング目的の偽メールが出回ったことで,Netcraftは脆弱性の存在を