クロスサイトスクリプティングとは?種類・感染原因と対策を徹底解説

この記事は約 4 分で読めます。



今回はクロスサイトスクリプティングについて、その概要をご紹介しようと思います。クロスサイトスクリプティングはSNSやブログ、掲示板などを攻撃対象としている点から、社会的関心が高いサイバー攻撃です。



クロスサイトスクリプティングとは?

クロスサイトスクリプティング(XSS)は、エンドユーザー側がWebページを制作することのできる動的サイト(例:Twitter、掲示板等)に対して、自身が制作した不正なスクリプトを挿入するサイバー攻撃です。

直接的な被害は標的サイトではなく、サービスを利用しているエンドユーザーに対して及びます。標的になったサイトとは別のサイトに情報を送信(クロス)することから、この名前で呼ばれるようになりました。

クロスサイトスクリプティング攻撃の1例

以下はクロスサイトスクリプティングの代表例です。

  1. 攻撃者CがXSSに対して脆弱性のあるA社を発見する。
  2. 攻撃者CがA社に興味を持ちそうなユーザーのいるB掲示板にスクリプト付リンクを貼る。
  3. 興味を持ったユーザーは、スクリプト情報を持ったままA社のページに移動する。
  4. スクリプトの効果により「A社のサイトとして」表示された偽サイトにジャンプする。
  5. 騙されたユーザーが情報を入力した結果、攻撃者Cがユーザーの入力情報を獲得する。
  6. 攻撃者Cの手により、ユーザーに対して様々な被害が発生する。

クロスサイトスクリプティングの原因とは?

クロスサイトスクリプティングの根本的な原因は、文字通り攻撃者が不正なスクリプトを挿入することができる環境を与えてしまうことにあります。つまり、クロスサイトスクリプティングに対して脆弱性を持つ動的サイトの放置です。

スクリプト文章にはエンドユーザー側が保有する個人情報を、標的サイトとは別のサイトに送信するように設定されており、これが直接的な被害を生み出します。

クロスサイトスクリプティングには「java」や「htmlタグ」が使われる

クロスサイトスクリプティングは、スクリプトを利用したサイバー攻撃です。

使用されるスクリプトには様々なものがありますが、なかでも「java」及び「htmlタグ」は頻出と言える言語。とくにできることの範囲が広いjavaを用いた攻撃は、著しい被害を及ぼす傾向にあるため、警戒が必要だと言えます。

クロスサイトスクリプティングで攻撃されるとどうなる?

クロスサイトスクリプティングによる攻撃は、標的サイトのエンドユーザーが被害を受けることで発生します。スクリプトの内容によって被害内容が異なる点が特徴で、代表的な被害例は下記の通りです。

  • cookie情報を利用した不正アクセス(セッションハイジャック)
  • HTMLタグを使った入力フォームによる情報収集
  • 偽サイトを使ったフィッシング詐欺

被害事例

クロスサイトスクリプティングによる攻撃で最も警戒すべきポイントは、いつ自身の提供するサービスが悪事に利用されるかわからない点です。過去「YouTube」や「Twitter」も同様の被害に遭っており、危険な事案だと指摘されています。

2010年 Youtube不正アクセス事件 クロスサイトスクリプティングに対する全弱性を突かれ被害にあった事例。Youtubeのコメントを記入できることを利用して行われ、不審なサイトへのリダイレクトやフェイクニュースを記載したポップアップなど、様々な被害を及ぼした。
2010年 Twitterワーム拡散事件 クロスサイトスクリプティングに対する脆弱性をついたワーム(ロールオーバーした文章を自動でリツイートしてしまう性質を持つ)が拡散し、爆発的な勢いで混乱が拡大。

ワームについての詳細はこちらから
ワームとは?種類・感染原因・対策について徹底解説

攻撃されないための対策

クロスサイトスクリプティングは、その脆弱性を利用されることにより発生します。サービスの提供者とユーザーの双方がセキュリティ対策を実施することが大切です。

ユーザー側に求められる対策

  • 最新のブラウザにアップデートする
  • スクリプトの実行設定を無効化する
  • セキュリティソフトを導入し、不正なスクリプトをブロックする

WEB管理者側に求められる対策

  • クロスサイトスクリプティングに対応したWEBアプリケーションを構築する
  • WEBサーバーやアプリケーションを最新の状態に保つ
  • クロスサイトスクリプティングに対するフィルタ機能を持つWAFの導入

IT管理者に求められる対策

  • エンドポイントへの総合的なセキュリティソフトの導入
  • 不正なサイトへの誘導と思われるメールをブロックする
  • ネットワーク内部から不正サイトへのアクセスをブロックする

まとめ

クロスサイトスクリプティングが非常に危険なサイバー攻撃であることは、過去の大規模な不正アクセス事件から明白です。個人情報の収集を目的とした攻撃者により実行されると、甚大な被害を及ぼすこととなるでしょう。

根本的な対策は設計時のスクリプトから見直す必要があるため非常に難しい問題ですが、

〈参照〉
クロスサイトスクリプティング(XSS)/トレンドマイクロ
クロスサイトスクリプティング(XSS)とは?仕組み・脅威から対策についてのまとめ/バイラルクラブ

こちらのページもご覧ください。

0からサイバーセキュリティの現状がわかる
情報漏洩セキュリティ対策
ハンドブックプレゼント

img_pdf1.はじめに
2.近年の個人情報漏洩の状況
3. 内部要因による情報漏洩
3-1.被害実例
3−2.内部犯行による被害統計情報
3-3.内部犯行による情報漏洩が増え続ける3つの原因
3-4.内部犯行を減らすための対策
4. 外部要因による情報漏洩
4−1.近年の個人情報漏洩の状況
4−2.実際の近年のサイバー攻撃による企業の被害実例
4−3.サイバー攻撃の統計情報
4-4.サイバー攻撃がふえ続ける5つの原因
4-5.急増する日本の企業のWEBサイト改ざんへの対策
4-6.サイバー攻撃の種類を把握しよう
4-7.日本におけるサイバー攻撃に対する国の対応と今後
4-8.外部要因による情報漏洩のセキュリティ対策
無料でここまでわかります!
ぜひ下記より無料ダウンロードしてみてはいかがでしょうか?

メルマガ登録はコチラ