2ちゃんねるなどの掲示板を監視し、﹁犯行予告﹂を集積するシステム﹁予告.in﹂で、クロスサイトスクリプティング攻撃によって不正コードを埋め込まれていたことが判明した。 予告.inには、犯行予告を通報するフォームが用意されているが、そのフォームの一部︵具体的にはURL入力部分︶でエスケープ処理を行っておらず、その結果URL部分に悪意のあるコードを埋め込むことが可能になっていたのが原因とのことだ。 これにより、予告.inのトップにアクセスを行うと、2ちゃんねるに﹁警視庁を爆破する 嘘です﹂という犯行予告文を投稿してしまう、という現象が発生していたとのことだ。 入力データのサニタイズはセキュリティの基礎ではあるが、確かにURLは見逃しがちな個所ではありそうだ。/.erにはCGIやWebアプリケーションを作成されている方も多いとは思うが、入力されたデータのチェックはすべての項目について、忘れないで