YouTubeのコメント欄にXSS攻撃を受け、不正なポップアップが表示される被害があったという。なにやら古典的なJavaScriptによるブラウザクラッッシャー（ブラクラ）みたいである。YouTubeにまだこうした基本的な脆弱性が残っていたのかという方が驚きでもある。

YouTubeにXSS攻撃、不正ポップアップなどの被害広がる(ITmedia)

　もともと不正なポップアップなどに煩わされるのが嫌で、普段はブラウザのJavaScript機能をオフにしていた人も多かったはずである。ところがGoogle Maps以来のAjaxの登場以後、WebアプリにはJavaScriptは標準になり、そもそもJavaScriptが実行できないとWebアプリそのものが実行できないようになった。一度は敬遠されたJavaScriptが復活し、それどころか新しいブラウザはJavaScriptのパフォーマンスを競うようにさえなった。

　そこに昔を思い出すようなJacaScriptコードを埋め込むようなXSS攻撃の話で、それもメジャーなYouTubeに対してであるから意外であった。YouTube側が不注意だったか、XSS攻撃側が巧妙だったか、被害を受けた側のセキュリティ対策に問題があったのかはよくはわからないが、YouTubeでさえ、まだこんなことが起こりうることは注意しておくべきことだろう。

　そのポップアップで表示された偽情報などが、YouTubeのそれぞれの動画の内容に合わせたものなのかどうかはわからないが、そうだとすればその動画に関心を持って見に来た人をフィッシングしようとするものだろう。関心対象だけに余計に騙されやすい心理状態になっているかもしれない。Googleもサイバー攻撃を受け続けたからとして中国から撤退したりしたが、それでもGoogleにアクセスするユーザを狙った攻撃はまだまだ続きそうだ。Googleの対策はもちろんだが、一般ユーザとしても「Googleだから絶対大丈夫」とは思わない方がよさそうだ。