クロスサイト・スクリプティング

サイバー攻撃とひとくくりでいっても、ネットワークに対する攻撃やサーバ、OSに対する攻撃、Webアプリケーションに対する攻撃など、その種類はさまざまです。

以前はサイバー攻撃と聞いても映画の中の話で、自分とは関わりがないと思うこともありましたが、最近では情報漏洩やシステムダウンといった被害がニュースのヘッドラインで取り上げられるなど、とても身近になってきました。

これから数回に分けて、みなさんがインターネットをしている際に遭遇する可能性もあるサイバー攻撃の種類を解説していきたいと思います。
今回は数あるサイバー攻撃の中でも、主要な攻撃のひとつであるクロスサイトスクリプティング（XSS）についてご紹介します。

クロスサイト・スクリプティングとは、一言で言うと動的なWebページの脆弱性を狙い、悪意のあるスクリプト（Web上で実行される命令）を埋め込む攻撃手法です。

動的なWebページと聞いてもイメージしにくいかもしれませんが、掲示板や問い合わせフォームといえばイメージできるかと思います。ユーザーがWeb上で入力を行い、そのデータがデータベースなどに送信されるといったような仕組みのものです。

こうした動的なWebページは、HTMLやJavaScriptによって組み立てられていますが、そこに悪意のあるスクリプトを埋め込むことで、フォームに入力した情報を、攻撃者が用意したデータベースに送信することが可能です。

特に厄介なのが、管理者のデータベースにも情報が正常に送信されるため、ユーザーはもちろん、Webサイトの管理者もフォームの異常に気づかないことが多いのです。
その他にも、ユーザーのCookie情報を抜き出して不正ログイン行うセッションハイジャックや、攻撃者が用意した別のサイトへ誘導するなど、スクリプトの内容によっていずれかの被害に繋がる可能性があります。

Webサイトの管理者が意図しないうちに加害者になってしまう可能性もあるため、十分な注意と対策が必要な攻撃の一つです。

クロスサイト・スクリプティングについて理解したところで、次は対策について学びましょう。

ユーザーは、もしいつも利用しているサイトが、少しでも変だと思ったらそのサイトの閲覧はやめましょう。ブラウザを最新版にアップデートすることや、セキュリティ対策ソフトで不正スクリプトをブロックさせることも有効です。

万が一スクリプトを実行してしまった場合を考えて、セキュリティ対策ソフトを導入することで危険なサイトへはアクセスを防ぎましょう。

もちろん、対策をするべきなのはユーザーだけではありません。Webサイト運営側もしっかりと対策をする必要があります。

Webサイト運用の担当者は、クロスサイト・スクリプティングが仕掛けられないようにしっかりとWebサイトを管理する。脆弱性をそのままにするのではなく、きちんと脆弱性対策パッチを当てるといった対策をしてください。また、脆弱性を作らないようにWebサイト構築の段階から、きちんと対策することも重要です。

WebサーバやWebアプリケーションを常に最新の状態に保ちましょう。
クロスサイト・スクリプティングを防ぐ機能を持つWAFやクロスサイト・スクリプティングフィルタを導入するとなお良いです。
Web担当者とユーザーの相互で注意深くいることが大切ですね。

今回はサイバー攻撃の一つ、クロスサイト・スクリプティングについてご紹介しました。個人情報を悪意ある者に抜き取られないように対策をしておきたいですね。
これからもサイバー攻撃について少しずつご紹介していきたいと思います

イニシャルコスト、運用コストを抑えることができ、簡単にWebサイトのセキュリティ対策が出来るクラウド型WAFは、企業にとって有効なセキュリティ対策の１つです。

クラウド型WAF「攻撃遮断くん」は、最新の攻撃パターンにも自動的に対応していくため、セキュリティパッチをすぐに適用できない状況や、定期的に脆弱性診断が出来ない状況でも、セキュアな環境を保てます。ぜひこの機会にWebセキュリティ対策を見直し、WAFの導入を検討してみてはいかがでしょうか。

「攻撃遮断くん」の詳細資料は、こちらからダウンロード頂けます。

 


https://www.shadan-kun.com/

（2017/6/2 執筆、2020/3/13修正・加筆）