セキュリティに関する重要なお知らせ

2002年2月22日 株式会社アイ・キュー 【人材バンクネット】事務局 セキュリティに関する重要なお知らせ 【人材バンクネット】の クロスサイトスクリプティングの脆弱性について 日頃より【人材バンクネット】をご利用いただきありがとうございます。 さて、去る2002年2月21日午前9時頃、【人材バンクネット】のシステムに「クロスサイトスクリプティング」と呼ばれるセキュリティ脆弱性の問題があり、個人情報漏洩の可能性があることを確認いたしました。事務局では直ちに対策を講じておりますが、対応システムの反映（2002年2月22日18:00終了予定）までの間は会員様ご自身で自衛努力いただく必要がございます。以下に詳細を記しますので、誠に恐れ入りますが細心のご注意とともに、サービスをご利用いただきますようお願い申し上げます。 ※【人材バンクネット】では対策完了済みですが、セキュリティに関する重要な情報を記載しておりますのでぜひお目通しください。 ■プライバシー侵害（個人情報の漏洩／改竄）リスクについて 下記漏洩条件(1)〜(4)が同時に満たされた場合に限り、 悪意ある第三者にID・パスワードが漏洩し、その結果あなたの専用画面に保存されている個人情報が漏洩／改竄される恐れがあります。 ※ID・パスワードの漏洩条件 (1)【人材バンクネット】の会員登録が完了し、IDとパスワードで専用画面にログインしたことがある。 (2)【人材バンクネット】の自動ログイン設定が"する"になっている。 (3)お使いのブラウザ設定でスクリプトの使用が"有効"になっている。 (4)【人材バンクネット】のフォーム送信プログラムにリンクされた、悪意あるスクリプトを含んだ第三者サイトにアクセスする、またはアクセスしてリンクをクリックする。 ■被害状況 不明 ■サービスの一時中断について クロスサイトスクリプティングの脆弱性対応のため、【人材バンクネット】のサービスを一時中断させていただきます。 期間／2002年2月22日（金）15:00〜18:00 ■サーバ側脆弱性対応（2002年2月22日18:00）までの自衛手段 ※2002年2月22日17:00対応完了済み (1)【人材バンクネット】をご利用いただく際は、必ずトップページからアクセスする。 http://www.jinzai-bank.net/ http://www.jinzai-bank.com/ (2)専用画面にログイン中は、【人材バンクネット】以外のサイトにアクセスしない。 (3)専用画面への自動ログインを"しない"に設定する。 ※「もしかしたら...」個人情報漏洩／改竄されたのかご心配という方は (1)今すぐ【人材バンクネット】のトップページ（http://www.jinzai-bank.net/）にアクセスして専用画面にログインし、パスワードをご変更ください。 (2)ログアウトする際は"ログアウト（自動ログイン解除）"をクリックしてください。 ■サーバ側脆弱性対応後（2002年2月22日18:00以降）の制約事項 ※2002年2月22日17:00対応完了済み 特に上記自衛手段は必要ありません。 ※他サイトの安全性を保証するものではありません。 ■クロスサイトスクリプティングの脆弱性についての参考情報 Webサイトにおけるクロスサイト スクリプティング脆弱性に関する情報 - ユーザーのセッションが奪われる可能性 - 情報処理振興事業協会　セキュリティセンター 2001年10月23日 http://www.ipa.go.jp/security/ciadr/20011023css.html http://securit.etl.go.jp/ 「クロスサイトスクリプティング攻撃に対する電子商取引サイトの脆弱さの実態とその対策」 独立行政法人 産業技術総合研究所 情報処理研究部門　ハイエンド情報技術グループ 2001年10月18日 http://securit.etl.go.jp/research/paper/css2001-takagi-dist.pdf ■謝辞 2002年2月21日21:18:23発のメールにて今回の脆弱性問題と対策方法についてお知らせいただきました会員の某様、貴重な情報提供ありがとうございました。 ■その他 セキュリティ面での脆弱性が新たに発見された場合は、会員のみなさまのプライバシー保護を最優先に対策を講じてまいります。ご不便・ご心配をおかけすることもあるかと存じますが、ご理解・ご協力くださいますようお願い申し上げます。 2002.02.22　update 戻る