クロスサイトスクリプティング(XSS)
概要
「クロスサイトスクリプティング(XSS)」とは?
クロスサイトスクリプティングとは、ユーザのアクセス時に表示内容が生成される「動的Webページ」の脆弱性、もしくはその脆弱性を利用した攻撃方法のことです。動的Webページの表示内容生成処理の際、Webページに任意のスクリプトが紛れ込み、Webサイトを閲覧したユーザ環境で紛れ込んだスクリプトが実行されてしまいます。
攻撃の手法・特徴
- 攻撃者は、XSS脆弱性のあるWebサイトにユーザを誘導することにより、ユーザ環境で不正スクリプトを実行させることができます
- 攻撃者は、脆弱性利用のために、不正スクリプトを含んだ攻撃用URLを作りこむ必要があります
影響と被害
- 攻撃者が用意した攻撃用URLにアクセスしたユーザの環境で不正スクリプトが実行されます
- ユーザ環境で不正スクリプトが実行されることにより、不正プログラムの感染、ユーザを騙す表示によるフィッシング詐欺、クッキー情報の取得によるセッションハイジャック、情報詐取、他の不正サイトへの誘導、などの被害に繋がります
図:クロスサイトスクリプティングの攻撃概念図
対策と予防
ユーザ側
- 最新のブラウザにアップデートする
- 電子メール内やWeb上の不審なURLを安易にクリックしない
- ブラウザのセキュリティ設定により、スクリプトの実行を無効化する
- ウイルス対策製品により、不正スクリプトを検出し、実行をブロックする
- セキュリティ対策製品の機能により、不正サイトへのアクセスをブロックする
Web管理者側
- 根本的な解決のためには、Webサーバ側で脆弱性に対処することが必要であり、脆弱性を作りこまれないよう、Webアプリケーション作成時から対策を意識することが必要です
- WebサーバやWebアプリケーションのミドルウェアを常に最新の状態にする
- 脆弱性が作りこまれないようWebアプリケーションの処理を精査する
- WAF(Web Application Firewall)、XSSフィルタなどのセキュリティ対策製品を導入する
IT管理者側
- エンドポイントへ総合的なセキュリティソフトを導入し、常に最新の状態にする
- ゲートウェイ上で不正サイトへの誘導を目的とした攻撃メールの受信をブロックする
- ネットワーク内部から外部不正サイトへのアクセスをブロックする
トレンドマイクロのソリューション
ユーザ側
| 予防と対策 | トレンドマイクロのソリューション |
|---|---|
| 個人用端末にも総合的なセキュリティソフトを導入し、常に最新の状態に保つ |
|
Web管理者側
| 予防と対策 | トレンドマイクロのソリューション |
|---|---|
| Webアプリケーション保護機能を持つセキュリティソフトを導入する | Trend Micro Deep SecurityのWebアプリケーション保護機能により、XSS脆弱性への攻撃をブロックする |
| WebサーバやWebアプリケーションのミドルウェアを常に最新の状態にする、あるいは脆弱性への対策を行う | Trend Micro Deep Securityにより、脆弱性を狙った攻撃をブロックする |
IT管理者側
| 予防と対策 | トレンドマイクロのソリューション |
|---|---|
| エンドポイントへ総合的なセキュリティソフトを導入し、常に最新の状態にする | ウイルスバスター コーポレートエディションの導入 |
| ネットワーク内部から外部不正サイトへのアクセスをブロックする | ウイルスバスター コーポレートエディション、InterScan Web Security Virtual Applianceなどの製品の「Webレピュテーション」機能により、外部不正サイトへのアクセスを遮断する |
| メールサーバにおける不審メールの検出 | InterScan Messaging Security Virtual Appliance、InterScan Messaging Security Suite、Trend Micro Hosted Email Securityなどのメッセージングセキュリティ製品により、不正サイトへの誘導に繋がる不審メールを検出する |