クロスサイトスクリプティングとは

用語

クロスサイトスクリプティングとは

クロスサイトスクリプティング(XSS)とは、掲示板サイトやTwitterのような、ユーザからの入力内容をWebページに表示するWebアプリケーションにおいて、ウェブサイト(標的サイト)の脆弱性(XSS脆弱性)を利用した攻撃手法を指します。

攻撃者は、入力内容に、スクリプト付のリンクを貼る等の罠を仕掛けます。被害者となるユーザが誤って罠を実行する(リンクをクリックする等)と、セキュリティ的に問題のある別のウェブサイト(クロスサイト)に対し、脆弱性を利用した悪意を持った実行内容(スクリプト)が含まれた通信が実行されます。

その結果、偽のページがユーザに表示され様々な悪影響を引き起こします。例えば不正なポップアップが出たり入力フォームが立ち上がったりするときは要注意です。

偽ページでは個人情報など重要な情報の入力を促す内容や、ブラウザ上から取得可能なユーザコンピュータ上の情報(Cookie等)を取得する作りとなっていて、このスクリプトが実行されると、ユーザーの個人情報が流出したり、マルウェア感染するなど様々な被害が発生します。

被害者にならないための対策としては、いつも利用しているサイトであっても表示内容に注意し、安易にクリック・情報入力しないことですが、攻撃者側は言葉巧みにクリックさせたり、情報入力させたりと工夫するため、ユーザ側に頼ることは完全には難しいのが現状です。

クロスサイトスクリプティング(XSS)のセキュリティ対策とは?

クロスサイトスクリプティングは、Webサイト閲覧者側がWebページを制作することのできる動的サイト(例:TwitterなどのSNSや掲示板等)に対して、自身が制作した不正なスクリプトを挿入することにより起こすサイバー攻撃です。直接的な被害は標的サイトではなく、サービスを利用しているエンドユーザーに及ぶ攻撃で、標的になったサイトとは別のサイトに情報を送信(クロス)することから、この名前で呼ばれるようになりました。

初期に発見されたクロスサイトスクリプティングでは脆弱性のあるサイトと攻撃者のサイトを「サイト横断的」に利用して攻撃を実行する事から名づけられましたが、クロスサイトスクリプティングの定義は新しいタイプの攻撃が見つかるたびに拡張され、サイト横断的なものでなくともXSSと呼ぶようになりました。

クロスサイトスクリプティングとは?仕組みと事例から考える対策

コメント

タイトルとURLをコピーしました