• SecurityTIMES
  • ノウハウ
  • 「サイバー攻撃解説」Webページの脆弱性を悪用するクロスサイト・スクリプティングとは?

「サイバー攻撃解説」Webページの脆弱性を悪用するクロスサイト・スクリプティングとは?

2017年6月2日(金) ノウハウ

サイバー攻撃とひとくくりでいっても、ネットワークに対する攻撃やサーバ、OSに対する攻撃、Webアプリケーションに対する攻撃など、その種類はさまざまです。

以前はサイバー攻撃と聞いても映画の中の話で、自分とは関わりがないと思うこともありましたが、最近では情報漏洩やシステムダウンといった被害がニュースのヘッドラインで取り上げられるなど、とても身近になってきました。

これから数回に分けて、みなさんがインターネットをしている際に遭遇する可能性もあるサイバー攻撃の種類を解説していきたいと思います。
今回は数あるサイバー攻撃の中でも、主要な攻撃のひとつであるクロスサイトスクリプティング(XSS)についてご紹介します。

クロスサイト・スクリプティング(XSS)とは

クロスサイト・スクリプティングとは、一言で言うと動的なWebページの脆弱性を狙い、悪意のあるスクリプト(Web上で実行される命令)を埋め込む攻撃手法です。

動的なWebページと聞いてもイメージしにくいかもしれませんが、掲示板や問い合わせフォームといえばイメージできるかと思います。ユーザーがWeb上で入力を行い、そのデータがデータベースなどに送信されるといったような仕組みのものです。

こうした動的なWebページは、HTMLやJavaScriptによって組み立てられていますが、そこに悪意のあるスクリプトを埋め込むことで、フォームに入力した情報を、攻撃者が用意したデータベースに送信することが可能です。

特に厄介なのが、管理者のデータベースにも情報が正常に送信されるため、ユーザーはもちろん、Webサイトの管理者もフォームの異常に気づかないことが多いのです。
その他にも、ユーザーのCookie情報を抜き出して不正ログイン行うセッションハイジャックや、攻撃者が用意した別のサイトへ誘導するなど、スクリプトの内容によっていずれかの被害に繋がる可能性があります。

Webサイトの管理者が意図しないうちに加害者になってしまう可能性もあるため、十分な注意と対策が必要な攻撃の一つです。

クロスサイト・スクリプティングの対策方法とは?

クロスサイト・スクリプティングについて理解したところで、次は対策について学びましょう。

ユーザーは、もしいつも利用しているサイトが、少しでも変だと思ったらそのサイトの閲覧はやめましょう。

ブラウザを最新版にアップデートすることや、セキュリティ対策ソフトで不正スクリプトをブロックさせることも有効です。

万が一スクリプトを実行してしまった場合を考えて、セキュリティ対策ソフトを導入することで危険なサイトへはアクセスを防ぎましょう。

もちろん、対策をするべきなのはユーザーだけではありません。Webサイト運営側もしっかりと対策をする必要があります。

Webサイト運用の担当者は、クロスサイト・スクリプティングが仕掛けられないようにしっかりとWebサイトを管理する。脆弱性をそのままにするのではなく、きちんと脆弱性対策パッチを当てるといった対策をしてください。また、脆弱性を作らないようにWebサイト構築の段階から、きちんと対策することも重要です。

WebサーバやWebアプリケーションを常に最新の状態に保ちましょう。
クロスサイト・スクリプティングを防ぐ機能を持つWAFやクロスサイト・スクリプティングフィルタを導入するとなお良いです。
Web担当者とユーザーの相互で注意深くいることが大切ですね。

今回はサイバー攻撃の一つ、クロスサイト・スクリプティングについてご紹介しました。個人情報を悪意ある者に抜き取られないように対策をしておきたいですね。
これからもサイバー攻撃について少しずつご紹介していきたいと思います

Writer:SecurityTIMES編集部