クロスサイトスクリプティング(XSS)とは？
仕組みから対策まで総まとめ

クロスサイトスクリプティング（XSS）とは、Webサイトの脆弱性を突いて罠を仕掛け、ユーザーの個人情報の窃取などを行うサイバー攻撃です。罠を仕掛けたサイトから別のサイトに誘導して（クロスして）攻撃することから、クロスサイトスクリプティングと名付けられ、「Cross Site Scripting」の略として「XSS」とも表記されます。
古くから用いられている手法ですが、現在でも多くの被害が報告されています。IPAが公開している「ソフトウェア等の脆弱性関連情報に関する届出状況」によると、Webサイトの脆弱性の種類別届出件数は、クロスサイトスクリプティングが最も多く、累計では全体の59%を占めているという結果が出ています。

クロスサイトスクリプティングの仕組み

クロスサイトスクリプティングは、攻撃者がWebサイトに悪意のあるスクリプト（※1）を埋め込んだ罠を仕掛けます。例えば、個人情報の入力画面や掲示板、アンケートサイトなどに仕掛けられることが多く、このWebサイトをユーザーが閲覧し、リンクをクリックすると標的となるWebサイトに誘導されます。
ユーザーのブラウザ上でスクリプトが実行されると、個人情報や保存されているCookie情報の窃取、SNSアカウントの乗っ取り、マルウェア感染など、さまざまな被害が発生します。

クロスサイトスクリプティングの攻撃の種類は、主に以下の3種類があります。

●反射型XSS（Reflected XSS）

基本的なクロスサイトスクリプティングの手法で、リクエストに含まれるスクリプトがユーザーにそのまま戻されます。攻撃者は不正なスクリプトを含んだリンクを偽サイトなどに用意し、脆弱性のあるサイトに誘導。ユーザーのブラウザで不正なスクリプトが実行され、さまざまな情報の摂取が行われます。

●格納型XSS（Stored XSS）/持続型XSS（Persistent XSS）

あらかじめ攻撃者がWebサイトにスクリプトを格納しておくという手法です。ユーザーが該当するサイトやページにアクセスするごとに不正なスクリプトが実行されるため、多くのユーザーが被害を受ける可能性があります。

●DOM Based XSS

Webサイト上の脆弱性を攻撃するものとは異なり、DOM（Document Object Model）はJavaScriptのスクリプトの脆弱性を悪用します。サーバー側ではなくクライアントのブラウザ上で攻撃用のスクリプトが実行されます。

クロスサイトスクリプティングによる被害として、主に以下の4つがあります。

• 正規サイト上に偽情報を表示
• 個人情報の漏洩
• Cookie情報の窃取
• マルウェア感染

クロスサイトスクリプティングによって正規のWebサイト上に偽の情報が表示され、入力フォームなどに入力した個人情報が漏洩します。Cookie情報には閲覧履歴やID、パスワードが含まれるため、クレジットカードの不正利用や、ネットバンキングからの不正出金などの被害にもつながります。
また、リンクをクリックすることで不正なプログラムがダウンロードされ、マルウェアに感染することもあるため注意が必要です。

クロスサイトスクリプティングに関する事例

企業において、実際にクロスサイトスクリプティングに関する事例を紹介します。

事例①／大手ITベンダーが提供するサービスへの攻撃

事例②／世界的な衣料品大手企業のアプリに脆弱性が発覚

クロスサイトスクリプティングにおける効果的な対策として、以下の5つをご紹介します。

●スクリプトの無害化を行う

「サニタイジング」と呼ばれる対策で、クロスサイトスクリプティングに使用される危険な文字を無害なHTMLエンティティ（※2）に置き換えます。これにより、スクリプトの意図しない動きを防ぎます。エスケープ処理とも呼ばれます。

●入力値を制限する

不正なスクリプトの埋め込みを防ぐため、入力値に制限を設けます。例えば、パスワード入力欄は半角英数8文字まで、電話番号や郵便番号の入力欄は数字のみに制限し、不正なスクリプトを入力できないようにします。

●特定のURLのみ許可する

不正なスクリプトを実行できないようにURLの出力を制限します。「http」および「https」から始まるURLのみ出力を許可するよう設定し、ほかのスクリプトは拒否します。「javascriptスキーム」などが含まれるURLは不正なスクリプトが実行されるリスクがあります。

●動作環境を最新に保つ

セキュリティ対策の基本である、動作環境を常に最新の状態に保つことは、クロスサイトスクリプティングの対策としても有効です。ブラウザやサーバ、ソフトウェアなどを定期的にアップデートし、脆弱性を解消しておきましょう。

●WAFを設置する

セキュリティツールの導入も簡単で効果的な方法の一つです。WAF（Web Application Firewall）は、Webアプリケーションのセキュリティを強化するツールで、不正なアクセスや攻撃を検知・ブロックする機能を備えています。

クロスサイトスクリプティング以外にも対応するUTM

WAF以外にも、クロスサイトスクリプティングの対策に有効なツールとしてUTMがあります。UTM（Unified Threat Management）は「統合脅威管理」と呼ばれ、1台に複数のセキュリティ機能を備えているので、クロスサイトスクリプティング以外のサイバー攻撃の対策も可能です。
日々複雑化・巧妙化するサイバー攻撃は多種多様で、これらに個別に対応するにはコストや手間がかかってしまいます。しかしUTMであればさまざまなセキュリティ機能によって一元管理ができるため、コストを抑えるだけでなく専任の部署や担当者を置く必要がありません。トラブルが発生した際も、1つのベンダーに連絡するだけでいいので安心です。

サクサの最新モデルのUTM「SS7000Ⅱ」は、充実したセキュリティ機能に加え、監視・保守・サポートなど導入後のアフターケアも充実しています。サイバー攻撃対策など、自社のセキュリティ強化を考えている場合は、UTMの導入もぜひご検討ください。

今回はクロスサイトスクリプティングの仕組みや対策方法を解説しました。Webサイトを利用していると気づかぬうちに被害に遭ってしまう可能性も少なくありません。ご紹介した対策方法に加え、日頃から不審なリンクを安易にクリックしないことが重要です。
サクサでは記事の中でご紹介した「SS7000Ⅱ」をはじめ、UTMの基礎知識を解説する特設ページをオープンしています。UTMの機能や脅威となるサイバー攻撃について、動画で詳しくご紹介していますので、セキュリティ対策の参考にぜひご覧ください。

UTMの基本機能から導入メリット・選定ポイントなどを、詳しく解説したお役立ち資料もご提供していますので、ぜひご活用ください。