サイバーセキュリティーサービスの比較・資料請求サイト|中小企業向けのセキュリティ対策を考える「サイバーセキュリティ」に関する情報メディア。日本の中小企業の情報を守るため、最新のセミナー・人材育成・製品・中小企業向けのセキュリティ対策を考えるサイバーセキュリティ情報サイトです。

クロスサイトスクリプティングとは?仕組みと事例から考える対策



クロスサイトスクリプティング(XSS)とは、Webサイトに利用されるアプリケーションの脆弱性もしくはその脆弱性を悪用した攻撃のこと。特にWeb閲覧者側が制作することのできる動的サイト(例:TwitterなどのSNS、掲示板等)に対して、その脆弱性を利用して悪意のある不正なスクリプトを挿入することによりその発生するサイバー攻撃です。

少し難しい名前なので、専門的な知識が必要と思われがちですが、このページに整理する対策を行えば大丈夫。今回はクロスサイトスクリプティングについて、その概要から対策方法まで幅広くご紹介いたします。

クロスサイトスクリプティングとは?

クロスサイトスクリプティングは、Webサイト閲覧者側がWebページを制作することのできる動的サイト(例:TwitterなどのSNSや掲示板等)に対して、自身が制作した不正なスクリプトを挿入することにより起こすサイバー攻撃です。直接的な被害は標的サイトではなく、サービスを利用しているエンドユーザーに及ぶ攻撃で、標的になったサイトとは別のサイトに情報を送信(クロス)することから、この名前で呼ばれるようになりました。

初期に発見されたクロスサイトスクリプティングでは脆弱性のあるサイトと攻撃者のサイトを「サイト横断的」に利用して攻撃を実行する事から名づけられましたが、クロスサイトスクリプティングの定義は新しいタイプの攻撃が見つかるたびに拡張され、サイト横断的なものでなくともXSSと呼ぶようになりました。

攻撃の流れ

以下はクロスサイトスクリプティングの代表例を図に整理しました。

  1. 攻撃者CがXSSに対して脆弱性のあるA社を発見し、A社に興味を持ちそうなユーザーのいる掲示板サイトBに罠を仕掛ける(例:スクリプト付リンクを貼る)。
  2. ユーザーが掲示板サイトBを閲覧する。
  3. 掲示板サイトB内でスクリプト実行
  4. ユーザーはスクリプト情報を持ったままA社のページに移動(クロスサイト)する。
  5. スクリプトの効果により「A社のサイトとして」表示された偽サイトにジャンプする。
  6. 騙されたユーザーが情報を入力した結果、スクリプトが悪さをする
  7. 攻撃者Cの手により、ユーザーに対して様々な被害が発生(マルウェア感染・攻撃者Cへの情報漏洩など)。

攻撃の原因

クロスサイトスクリプティングの根本的な原因は、文字通り攻撃者が不正なスクリプトを挿入することができる環境を与えてしまうことにあります。つまり、クロスサイトスクリプティングに対して脆弱性を持つ動的サイトの放置です。

スクリプト文章にはエンドユーザー側が保有する個人情報を、標的サイトとは別のサイトに送信するように設定されており、これが直接的な被害を生み出します。

「javascript」や「htmlタグ」が使われる
クロスサイトスクリプティングは、スクリプトを利用したサイバー攻撃です。
使用されるスクリプトには様々なものがありますが、なかでも「javascript」及び「htmlタグ」は頻出と言える言語。とくにできることの範囲が広いjavascriptを用いた攻撃は、著しい被害を及ぼす傾向にあるため、警戒が必要だと言えます。

攻撃被害の影響

クロスサイトスクリプティングによる攻撃は、標的サイトのエンドユーザーが被害を受けることで発生します。スクリプトの内容によって被害内容が異なる点が特徴で、代表的な被害例は下記の通りです。

  • cookie情報を利用した不正アクセス(セッションハイジャック)
  • HTMLタグを使った入力フォームによる情報収集
  • 偽サイトを使ったフィッシング詐欺

被害事例

クロスサイトスクリプティングによる攻撃で最も警戒すべきポイントは、いつ自身の提供するサービスが悪事に利用されるかわからない点です。過去「YouTube」や「Twitter」も同様の被害に遭っており、危険な事案だと指摘されています。

Youtube不正アクセス事件

動画共有サイトの米YouTubeを狙った攻撃が発生し、ショッキングなデマが流れたり、コメントが表示されなくなるなどの影響が広がりました。この攻撃ではYouTubeのコメントシステムに存在するクロスサイトスクリプティングの脆弱性が悪用されました。

この影響でコメントが表示されなくなったり、画面に著名人に関するデマやゴシップがポップアップ表示されるなどの被害が広がりました。ほかにも不正なポップアップが出たり、悪趣味なWEBサイトにリダイレクトされたりするケースが相次いだといわれています。

Twitterワーム拡散事件

クロスサイトスクリプティングに対する脆弱性をついたワーム(ロールオーバーした文章を自動でリツイートしてしまう性質を持つ)が拡散し、爆発的な勢いで混乱が拡大しました。

攻撃されないための対策

クロスサイトスクリプティングは、その脆弱性を利用されることにより発生します。サービスの提供者とユーザーの双方がセキュリティ対策を実施することが大切です。

ユーザー側に求められる対策

  • 最新のブラウザにアップデートする
  • スクリプトの実行設定を無効化する
  • セキュリティソフトを導入し、不正なスクリプトをブロックする

企業のIT管理者に求められる対策

  • エンドポイントへの総合的なセキュリティソフトの導入
  • 不正なサイトへの誘導と思われるメールをブロックする
  • ネットワーク内部から不正サイトへのアクセスをブロックする

Sophos資料ダウンロードはこちらから

WEB制作者・管理者側に求められる対策

  • クロスサイトスクリプティングに対応したWEBアプリケーションを構築する
  • WEBサーバやアプリケーションを最新の状態に保つ
  • クロスサイトスクリプティングに対するフィルタ機能を持つWAFの導入
脆弱性を把握しておく
クロスサイトスクリプティングの脆弱性は、開発者側がソースコードを確認することで、脆弱性をチェックすることも可能です。
脆弱性を作りこまないように開発するために、IPAが公開している、「安全なウェブサイトの作り方」や「IPA ISEC セキュア・プログラミング講座」を参考にした上、必要な安全対策を実施し、開発を委託する場合にも、自社で開発する場合と同様に、上記の対策を実施することをおすすめします。
参考安全なウェブサイトの作り方
参考IPA ISEC セキュア・プログラミング講座

まとめ

クロスサイトスクリプティングが非常に危険なサイバー攻撃であることは、過去の大規模な不正アクセス事件からも明らかです。個人情報の収集を目的とした攻撃者により実行されると、甚大な被害を及ぼすこととなるでしょう。

根本的な対策は設計時のスクリプトから見直す必要があるため非常に難しい問題ですが、サイト制作者はしっかりと情報を調査した上での作り込みが必要です。さらにその他のサイバー攻撃と同じように、サイトユーザー側はしっかりとエンドポイントのセキュリティソフトを導入しておくなど、基本的なセキュリティ対策は行なっておくことが重要です。



  • LINEで送る

書籍「情報漏洩対策のキホン」プレゼント


当サイトへの会員登録で、下記内容の書籍「情報漏洩対策のキホン」3000円相当PDFプレゼント
(実際にAmazonで売られている書籍のPDF版を無料プレゼント:中小企業向け大企業向け

下記は中小企業向けの目次になります。

  1. 1.はじめに

  2. 2.あなたの会社の情報が漏洩したら?

  3. 3.正しく恐れるべき脅威トップ5を事例付きで
    •  3-1.ランサムウェアによる被害
    •  3-2.標的型攻撃による機密情報の窃取
    •  3-3.テレワーク等のニューノーマルな働き方を狙った攻撃
    •  3-4.サプライチェーンの弱点を悪用した攻撃
    •  3-5.ビジネスメール詐欺による金銭被害
    •  3-6.内部不正による情報漏洩

  4. 4.情報漏洩事件・被害事例一覧

  5. 5.高度化するサイバー犯罪
    •  5-1.ランサムウェア✕標的型攻撃のあわせ技
    •  5-2.大人数で・じっくりと・大規模に攻める
    •  5-3.境界の曖昧化 内と外の概念が崩壊

  6. 6.中小企業がITセキュリティ対策としてできること
    •  6-1.経営層必読!まず行うべき組織的対策
    •  6-2.構想を具体化する技術的対策
    •  6-3.人的対策およびノウハウ・知的対策

  7. 7.サイバーセキュリティ知っ得用語集

無料でここまでわかります!
ぜひ下記より会員登録をして無料ダウンロードしてみてはいかがでしょうか?

無料会員登録はこちら

SNSでもご購読できます。