ネスぺテキスト_６章：セキュリティー_クロスサイトスクリプティング

サイバー攻撃は、アメリカ政府をして第4の戦場と呼ばれるほどに悪質化、組織化、営利目的化が進んでいる。代表的なサイバー攻撃手法を下記にまとめる。

１．クロスサイトスクリプティング

スクリプト攻撃の1種、XSSと略される。スクリプト攻撃とは、ホームページの記述言語であるHTMLにスクリプトを埋め込める性質を利用した攻撃方法のこと。

HTMLへのスクリプトの埋め込みは、動的なコンテンツ作成のためによく利用される。しかし、悪意のあるコードが埋め込まれている場合には、ユーザのコンピュータに被害を与える恐れがある。そのため、最近の企業システムにおいてはブラウザでスクリプトを実行しないように設定したり、スクリプトを実行する場合には信頼できるサイトからのデータのみに限定する、などといった対策が取られている。

クラッカーはこうした防御方法を回避するために、XSSを利用する。XSSの手順は下記の通り。

・クラッカーは悪意のあるスクリプトを埋め込んだHPを作成し、ユーザ利用を待つ。

・ユーザが偶然や誘導により、そのHPを閲覧する

・スクリプト実行に関する脆弱性のあるサイトに閲覧要求が転送される

・脆弱性のあるサイトは、転送された悪意のあるスクリプトを埋め込んだ形でHPデータを転送する。

・ユーザのブラウザで悪意のあるスクリプトが実行される。

クロスサイトスクリプティングに対する脆弱性は、その社会的な影響の大きさから分析の細分化が進んでいる。代表的な脆弱性は以下の通り。

・Reflected XSS

反射型と呼ばれるXSS。利用者からのリクエストにスクリプトが含まれていて、リクエストに応じて返信されるWebページにスクリプトがそのまま埋め込まれてしまう脆弱性のこと。Webサーバ側のアプリケーションの脆弱性を無くすことで対策する。

・Stored XSS

格納型と呼ばれるXSS。悪意のある利用者がスクリプトを脆弱性のあるWebアプリケーションに送信し、スクリプトを保存させる。すると、他の利用者がWebページをリクエストした際に、スクリプトが埋め込まれたWebページが生成され、利用者のＰＣ上でスクリプトが実行される。Webサーバ側のアプリケーションの脆弱性を無くすことで対策する。

・DOM Based XSS

DOM（Document Object Model）とは、アプリケーションがHTMLやXMLを操作する際に用いるAPIのこと。innerHTMLプロパティを使うと、HTMLそのものを直接読み書きできるため、悪意のあるスクリプトの生成が可能。また、document.writeメソッドでクッキーの出力命令を書き込まれることで表示する場合などに注意する。

ブラウザのプラグインやJavascriptのライブラリを最新に保つことで対策する。