Webアプリケーションの代表的な脆弱性のひとつとしてよく耳にする「クロスサイトスクリプティング」。

独立行政法人情報処理推進機構（IPA）が公開している資料「ソフトウェア等の脆弱性関連情報に関する届出状況」によると、2020年度 第3四半期（7月～9月）に届出された脆弱性のうち、約58％をクロスサイトスクリプティングが占めているそうです。

企業のWebサイトだけでなく、世界的に有名なSNSの被害事例もあるクロスサイトスクリプティングについて今回はまとめていきます。

クロスサイトスクリプティングとは？

クロスサイトスクリプティング（以下XSS）は、ユーザの入力内容を表示する動的なWebページ（TwitterなどのSNSが代表的な例） において、攻撃者が送信した悪意のあるスクリプトをユーザ側のブラウザで動作させられてしまう脆弱性です。

Webページなどでブラウザに情報を保存するための仕組みのひとつであるcookieが盗まれて「なりすまし攻撃」を受けてしまったり、マルウェアに感染させることを目的とした、悪意のあるサイトへ誘導するための「Webページの改ざん」などの攻撃を受ける可能性があります。

クロスサイトスクリプティングの種類

XSSの脆弱性には以下の3種類のパターンがあります。

1. 不正なスクリプトを含むリクエストによる動作（反射型）
2. データベース等に登録された不正なスクリプトが読み込み時に動作（格納型）
3. JavaScriptで不正なスクリプトを処理させられて動作（DOMベース）

クロスサイトスクリプティングの被害事例

攻撃者によるXSS攻撃の被害事例は国内外で非常に多く報告されています。

（1） Twitter（2010年9月）
JavaScriptをそのまま投稿でき、ユーザのブラウザ上でスクリプトが実行可能な脆弱性が悪用されたことにより、ユーザのアカウントが乗っ取られ、罠が仕掛けられた投稿をツイートされてしまい、さらにリツイートされてしまう被害が発生。50万ユーザに影響があったとされています。

（2） YouTube（2010年7月）
動画に関するコメント欄に、悪意のあるJavaScriptが挿入可能な脆弱性などがあったとみられ、罠が仕掛けられたコメント欄を閲覧したユーザのブラウザ上でデマのニュースのポップアップが表示されるなどの被害が発生しました。

（3） 国内大手出版会社（2014年1月）
脆弱性を悪用され、オフィシャルWebサイトが改ざんされたことから、サイトに訪問したユーザのPCがマルウェアに感染、個人情報が盗まれる被害が発生しました。

クロスサイトスクリプティングの被害を防ぐには

XSSの対策としては、悪意のあるスクリプトの埋め込みを防ぐための入力値の制限や、エスケープ処理などの対策があげられますが、まずは脆弱性の有無を確認することが第一歩となります。

XSSの脆弱性に気が付かないまま放置してしまった場合、不正アクセスや情報漏えいなどの自社への被害だけでなく、他サイトへの攻撃の踏み台として利用される可能性もあります。

そういった被害を防ぐためにも、セキュリティ診断 でWebアプリケーションの脆弱性を早期発見し対策を行うことが非常に重要です。

さいごに

近年、サイバー攻撃による企業の被害件数は増加傾向にあり、攻撃の手法も日々、高度で複雑なものに変化しています。定期的にセキュリティ診断を実施し必要な対策を行うことが、企業の信頼性やブランド力を守ることにつながります。

出典：
・独立行政法人情報処理推進機構（IPA）
「ソフトウェア等の脆弱性関連情報に関する届出状況」:2020年第3四半期（7月～9月）