Valveは、SteamプロフィールのXSSエクスプロイトを迅速に修正しました。このエクスプロイトにより、攻撃者はユーザーを他のウェブページへリダイレクトしたり、Steamマーケットの資金を不正に使用したり、ページの外観を自由に変更したりすることができました。この問題はRedditで明らかにされ、わずか8時間後に別のReddit投稿で修正されたことが確認されました。
以下は Reddit ユーザー「R3TR1X」からの元の警告の抜粋です。
現在、他のSteamユーザーのプロフィールページ、およびご自身のアクティビティフィード(Steamブラウザ/Chromiumを含むすべてのブラウザで、デスクトップ版とモバイル版の両方)を閲覧または開く際に、フィッシングや悪意のあるスクリプトの実行などのリスクがあります。追って通知があるまで、疑わしいプロフィールの閲覧は控え、ブラウザのオプションでJavaScriptを無効にすることをお勧めします。疑わしい(本物の)Steamプロフィールリンクはクリックしないでください。また、ブラウザでJavaScriptを無効にしてください。Valveに適切な情報を送信済みであり、この問題はまもなく解決される予定です。ご不便をおかけして申し訳ございません。
モデレーターの「DirtDiglett」は次のように付け加えました。
適切なノウハウがあれば、悪意のあるユーザーはSteamプロフィールを閲覧するだけで、例えば以下の操作を実行できます。Steam以外のページ、例えばフィッシングログインページにリダイレクトする。ユーザーから見れば、正規のSteamプロフィールにアクセスしてログインページが表示されるだけです。一見、正規のように見えますよね? 情報を入力してください。何もクリックしていないので、大したことはありません。スクリプトを利用して、悪意のあるユーザーが選択したアイテムにSteamマーケットの資金を振り分けます。有効なログインセッションなので、確認すら必要ありません。ページ上の要素を必要に応じて操作する。
Valveは、このエクスプロイトに関する詳細情報を求める複数の問い合わせに回答しませんでした。しかし、R3TR1Xは、最初の公開からわずか8時間後に問題が修正されたことを確認する別のスレッドを投稿しました。また、このエクスプロイトが悪用されなくなったことを踏まえ、Valveはエクスプロイトに関するより詳細な情報も公開しました。
「マイガイドショーケース」(マルチガイドショーケース)は、ガイドのタイトルセクションに配置されたスクリプトを解析していました。そのため、このようなガイドをショーケースに掲載することで、コードを挿入することができました。「お気に入りガイド」は脆弱性がなく、マルチガイドショーケースのみが脆弱性を抱えていました。再現手順:プロフィールがレベル10以上である必要があります(マイガイドショーケースにアクセスするには)ガイドを作成し、タイトルセクションにスクリプト/ペイロードを配置します(->ガイドのタイトルを入力します)ガイドを公開し、プロフィールのガイドショーケースで紹介します
Tom's Hardware の最高のニュースと詳細なレビューをあなたの受信箱に直接お届けします。
Steamは攻撃者にとって格好の標的です。多くの人がクレジットカード情報をこのサービスに登録しています。何と言っても人気のゲームマーケットプレイスですから。フィッシングサイトにリダイレクトされても、ためらうことなくログイン情報を入力してしまうかもしれません。フィッシング詐欺師はNetflixのサインインページを模倣して情報を盗んでいます。他のエンターテイメントサービスも狙ってみてはいかがでしょうか?白熱した議論や試合の後、誰かのお金を無駄にしてしまう誘惑に駆られるかもしれません。
ValveはXSSエクスプロイトを悪用するケースをたびたび目にしてきました。2011年、2014年、そして2016年にも、XSSエクスプロイトが明らかになっています。これらのエクスプロイトはあまりにも頻繁に発生したため、ValveやSteamと公式な提携関係にはありませんが、Steamに関する多くの情報を提供しているSteamDBは、2015年に新たなエクスプロイトについてユーザーに直ちに警告することを表明しました。SteamDBは、XSSの問題は「完全に回避するのは非常に困難」であり、難しい問題であることを認識していましたが、それでも対策を講じる必要があると指摘しました。
Valveのセキュリティチームは、もはや時間を無駄にしていないようです。Steamで同様の問題を発見した方は、このページの情報を使用してValveにご連絡ください。Valveは必ずしも8時間以内に問題を解決できるとは限りませんが、他社がセキュリティ脆弱性の修正にどれだけの時間を要しているかを考えると、今回の脆弱性へのValveの迅速な対応はまさに驚異的です。
ナサニエル・モットは、Tom's Hardware US のフリーランスのニュースおよび特集記事ライターであり、最新ニュース、セキュリティ、テクノロジー業界の最も面白い側面などを扱っています。
