英Netcraftは現地時間7月20日,同社が6月に警告した米PayPalのWebサイトの脆弱性(セキュリティ・ホール)は,2年間放置されていた可能性があることを明らかにした(関連記事:フィッシング詐欺に新手法)。PayPalでは同社サイトに見つかったクロスサイト・スクリプティング(XSS)の脆弱性を6月に修正したが,この脆弱性自体は2年前に第三者によって報告されていたという。 PayPalのWebサイトに見つかったようなXSS脆弱性を悪用すれば,攻撃者は細工を施したリンク(URL)をユーザーにクリックさせることで,任意のスクリプトやHTMLをユーザーのブラウザに送り込める。これにより,本物のWebサイトから偽サイトへユーザーを誘導することが可能となる。つまり,フィッシング詐欺に悪用できる。 このXSS脆弱性を突くフィッシング目的の偽メールが出回ったことで,Netcraftは脆弱性の存在を
![フィッシングに悪用されたPayPalのXSS脆弱性,2年間放置されていた可能性あり](https://cdn-ak-scissors.b.st-hatena.com/image/square/bed39b5962a5d552c95b6d796db8f55e72d32943/height=288;version=1;width=512/https%3A%2F%2Fxtech.nikkei.com%2Fimages%2Fn%2Fxtech%2F2020%2Fogp_nikkeixtech_hexagon.jpg%3F20220512)