個人情報保護対策−企業・団体のための個人情報保護支援サイト

被害者を実在する銀行やショッピングサイトなどとそっくりな“罠のサイト”に誘い込む「フィッシング詐欺の増加が問題になっていますが、オークション・サービスを提供する米eBayのWebサイトにクロスサイト・スクリプティングのセキュリティ・ホールが見つかったと、米US-CERTが4月3日、明らかにしました。悪用されると，eBayユーザーのCookie情報を盗まれたり，フィッシング・サイトへ誘導されたりする可能性があるということです。

これはeBayユーザーが投稿するオークション情報にスクリプトタグを含めることができてしまうということで、この脆弱性を悪用すれば，攻撃者はeBayのサイトからユーザーの個人情報などを盗めてしまい、実際にこの脆弱性を悪用したフィッシング詐欺をUS-CERTでは確認しているとのことです。

回避策としては、「スクリプト機能（アクティブスクリプト）を無効にする」や「現在アクセスしているサイトが本物かどうかを，URLやデジタル証明などから確認する」などだということです。