2013年4月25日

各位

一般社団法人日本ネットワークインフォメーションセンター

JPNIC Webサイト内検索のプログラムにおける脆弱性について

JPNICのWebサイト内検索のプログラムに脆弱性があることが判明し、 修正する対応を行いましたことをお知らせいたします。

この不具合による、実際の被害はなかったことが確認できております。 利用者の皆様には、ご心配をおかけいたしましたことをお詫び申し上げます。

本件についてお気づきの点などは、下記の窓口までお問い合わせください。

記

脆弱性の内容

検索結果のWebページを生成するプログラムが、 検索に関係無い文字列を除去するなどの処理を行わない実装となっていたため、 サイト内検索のフォームを使って特定の文字列の検索を行うと、 検索結果にその文字列が表示される。文字列がスクリプトである場合には、 閲覧したWebブラウザによって実行される恐れがある。

影響

本不具合発生日時中における該当検索フォームへのアクセスは4,830件。 アクセスログ解析を行ったところ、悪用される可能性のある文字列が入力された形跡はなく、 被害はないことが認められた。

また、このサイト内検索の機能は、 個人情報などを含むデータベースなどへアクセスすることはないため、 個人情報へのアクセスおよび情報漏えいは起きていない。

当該プログラムが利用できるようになっていた期間

2013年4月1日(月)9:00 ～ 4月22日(月)16:30

対応について

2013年4月22日(月)16:30に問題を認識。 ただちに検索用のWebフォームを差し止め。 16:55に旧バージョンの脆弱性のない検索プログラムを利用しWebフォームを再公開。

2013年4月25日(木)20:00に、新しい検索フォームに差し替え。

本件に関する問い合わせ先

webmaster@nic.ad.jp <インターネット推進部 広報担当>

以上