「"><SCRIPT SRC=HTTPS://MJT.XSS.HT> LTD」への社名変更強制(2020年)

 (theguardian.com)
2 ポイント 投稿者 GN⁺ 2024-10-26 | 1件のコメント | WhatsAppで共有

  • 会社名変更の強制

    • Companies House がセキュリティリスクを理由に社名変更を強制
    • 元の社名は "“><SCRIPT SRC=HTTPS://MJT.XSS.HT>; LTD" で、クロスサイトスクリプティング(XSS)攻撃に脆弱な名前だった
    • XSSHunter サイトからスクリプトを読み込み、警告メッセージを表示する形でセキュリティ脆弱性を実証

  • 名称変更の背景

    • 英国のソフトウェアエンジニアが、面白半分でいたずら心のある名前で会社を設立
    • Companies House は、その名称がセキュリティリスクを引き起こす可能性があると認識し、名称変更を要求
    • 以前にも類似の名前が登録されたことはあったが、今回の事例が初めて実際の対応を引き起こした

  • セキュリティ対策

    • Companies House はセキュリティリスクを減らすために即時対応を取り、同様の事例が再発しないよう予防措置を整備
    • 会社名は現在 THAT COMPANY WHOSE NAME USED TO CONTAIN HTML SCRIPT TAGS LTD に変更されている

  • 会社ディレクターの見解

    • 会社ディレクターは、Government Digital Service(GDS)がセキュリティ面で高い評判を持っているため問題はないだろうと考えていた
    • 問題が見つかるとすぐに Companies House と英国国家サイバーセキュリティセンターに連絡した

GN⁺のまとめ

  • この記事は、会社名に HTML コードが含まれる場合に生じうるセキュリティリスクを扱っている
  • クロスサイトスクリプティング(XSS)のようなセキュリティ脆弱性への警戒を促している
  • 類似の目的を持つ業界内の別プロジェクトとしては、OWASP のセキュリティガイドラインを勧められる
  • この記事はセキュリティ意識を高め、会社名登録時におけるセキュリティ考慮の重要性を強調している

関連記事

1件のコメント

 
GN⁺ 2024-10-26
Hacker Newsのコメント

  • あるユーザーが、駐車場ターミナルで Windows オペレーティングシステムとアンチウイルスソフトを悪用した事例を共有した。QR コードに EICAR テスト文字列をエンコードしてスキャナーに読み込ませたところ、アンチウイルスのポップアップがターミナル画面を覆い、使えなくなった

  • 法改正を必要とした見事なトローリング事例であり、社名にコンピューターコードを含めることができないよう法律が改正された

  • 2014年には、ポーランドのあるドライバーが速度取締カメラを避けるため、ナンバープレートに SQL インジェクションを加えた事例があった

  • ある会社は HTML のスクリプトタグを含む名前を使っていたため、法的に社名変更を強いられた

  • 創業者の名前は "ROBERT'); DROP TABLE STUDENTS;" で、これは有名な Little Bobby Tables の事例を想起させる

  • 2000年ごろ、Coke Auction でスクリプトを使って他人が入札できないようにした経験が共有された。多くの品を手に入れたが、最終的にはアカウントが削除され、Coke UK から警告を受けた

  • RSS フィードでは title 要素が HTML なのかプレーンテキストなのか明確でないという問題が指摘された。Atom は title 要素を明確にプレーンテキストとして扱うよう規定している

  • ある会社がセキュリティリスクを招きうる文字で登録されていたが、Companies House 自体には影響せず、一部顧客のセキュリティが脆弱だった可能性があると言及された

  • 2020年の記事で関連事例が取り上げられていた