クロスサイトスクリプティングとは?

クロスサイトスクリプティングは、代表的なサイバー攻撃のひとつで、悪意のある攻撃者が脆弱性のあるWebサイトに目をつけて、Webサイトに訪問したユーザーの個人情報を窃取する攻撃です。

現実に起きている多くのクロスサイトスクリプティングではユーザーが罠であることに気づかないように、巧妙な仕組みで攻撃がおこなわれます。

クロスサイトスクリプティングの仕組み

クロスサイトスクリプティングの名前の由来は、悪意のある攻撃者がわなを仕掛けたWebサイトと脆弱性のある別のWebサイトにまたがって攻撃がお行われるため命名されたといわれています。

ここではクロスサイトスクリプティングの仕組みを紹介します。

  1. 悪意のある攻撃者は「ターゲットとなるWebサイト」を見つけ、そのWebサイトとそっくりの偽サイトを作ります。
  2. ターゲットなるWebサイトのユーザーが使うであろうSNSや匿名の掲示板サイトに、不正なスクリプトを埋め込んだ「ターゲットとなるWebサイト」へのリンクURLを投稿します。
  3. SNSや匿名の掲示板サイトに訪問したユーザーが罠であることに気づかず、不正なスクリプトを埋め込んだ「ターゲットとなるWebサイト」へのリンクURLをクリックします。
  4. 不正なスクリプトが実行され、ユーザーのパソコンでスクリプトが保存されたまま「ターゲットとなるWebサイト」へリンクします。
  5. スクリプトの実行によってユーザーは、本物の「ターゲットとなるWebサイト」にはリンクされずWebサイトとそっくりの偽サイトに飛ばされてしまいます。
  6. ユーザーは本物のWebサイトと思い込んで個人情報などの情報を入力してしまいます。
  7. 悪意のある攻撃者はユーザーから個人情報などの窃取をおこなったり、マルウェアを感染させたりします。

クロスサイトスクリプティングによって、悪意のある攻撃者によってターゲットとされたWebサイトは、知らない間にサイバー攻撃の踏み台の役割をさせられてしまうことになります。

クロスサイトスクリプティングの種類

前述の仕組みのクロスサイトスクリプティングは、ターゲットなるWebサイトのユーザーが使うであろうSNSや匿名の掲示板サイトに不正なスクリプトを埋め込むタイプでリフレクト型とか反射型と呼ばれています。

クロスサイトスクリプティングにはほかにも悪意のある攻撃者が標的とされた脆弱性のあるWebサイトに直接不正なスクリプトを埋め込み、ユーザーが脆弱性のあるWebサイトにアクセスすることで不正な処理をおこなうスクリプトが実行されるストア型クロスサイトスクリプティングがあります。

クロスサイトスクリプティングの被害事例

クロスサイトスクリプティングに被害の特徴は、脆弱なWebサイトに対して直接的に被害を与えるのではなく、Webサイトに訪問するユーザーに被害を与える点と悪意のある攻撃者の作る不正なスクリプトの内容によって被害の内容も変わってくる点です。

ここでは被害事例を紹介します。

セッションハイジャック

セッションハイジャックとは、クロスサイトスクリプティングで摂取したIDやパスワードを使ってなりすまし、ネットワークやシステムにログインすることです。悪意のある攻撃者はサーバに侵入し機密情報の窃取などを実行します。

Webサイトの改ざん

クロスサイトスクリプティングによってWebサイトの内容が改ざんされる被害がでています。改ざんによってWebサイトの目的に反した内容のコンテンツが表示されたり、閲覧者をウイルスに感染させた事例があります。

改ざんは、管理画面に入るIDやパスワードが摂取されることによって実行されて、管理者に気づかれないように行われるケースもあります。

フィッシング

クロスサイトスクリプティングによって偽サイトに誘導されたユーザーのIDやパスワード、クレジットカード情報などが摂取される被害がでています。

クロスサイトスクリプティングの対策

クロスサイトスクリプティングの攻撃のターゲットなってしまうWebサイトには、不正なスクリプトが入り込む脆弱性があります。脆弱性がある状態のままにしておくと悪意のある攻撃者の踏み台とされてしまいます。ここではクロスサイトスクリプティングの対策を紹介します。

サーバの脆弱性対策

クロスサイトスクリプティングではWebサイトの脆弱性が狙われますので、ザーバに脆弱性がないかチェックし脆弱性が見つかった場合すぐに対応することが大切です。また、日常的に最新のセキュリティにアップデートする必要があります。

WAF(Web Application Firewall)

WAFはサイバー攻撃の防御に有効とされるセキュリティシステムで、シグネチャとよばれる定義ファイルを使って通信を監視や制御します。WAFによって通信内容がチェックされ、不正な通信はブロックされます。

まとめ

クロスサイトスクリプティングは、代表的なサイバー攻撃のひとつですので、仕組みを理解しておく必要があります。脆弱性のあるWebサイトは悪意のある攻撃者のターゲットになります。

クロスサイトスクリプティングはユーザーに被害を及ぼしますので、企業の信頼を失わないようにしっかり対応しましょう。