クロスサイトスクリプティング(XSS)

概要

「クロスサイトスクリプティング(XSS)」とは?

クロスサイトスクリプティングとは、ユーザのアクセス時に表示内容が生成される「動的Webページ」の脆弱性、もしくはその脆弱性を利用した攻撃方法のことです。動的Webページの表示内容生成処理の際、Webページに任意のスクリプトが紛れ込み、Webサイトを閲覧したユーザ環境で紛れ込んだスクリプトが実行されてしまいます。

攻撃の手法・特徴

  • 攻撃者は、XSS脆弱性のあるWebサイトにユーザを誘導することにより、ユーザ環境で不正スクリプトを実行させることができます
  • 攻撃者は、脆弱性利用のために、不正スクリプトを含んだ攻撃用URLを作りこむ必要があります

影響と被害

  • 攻撃者が用意した攻撃用URLにアクセスしたユーザの環境で不正スクリプトが実行されます
  • ユーザ環境で不正スクリプトが実行されることにより、不正プログラムの感染、ユーザを騙す表示によるフィッシング詐欺、クッキー情報の取得によるセッションハイジャック、情報詐取、他の不正サイトへの誘導、などの被害に繋がります

図:クロスサイトスクリプティングの攻撃概念図

対策と予防

ユーザ側

  • 最新のブラウザにアップデートする
  • 電子メール内やWeb上の不審なURLを安易にクリックしない
  • ブラウザのセキュリティ設定により、スクリプトの実行を無効化する
  • ウイルス対策製品により、不正スクリプトを検出し、実行をブロックする
  • セキュリティ対策製品の機能により、不正サイトへのアクセスをブロックする

Web管理者側

  • 根本的な解決のためには、Webサーバ側で脆弱性に対処することが必要であり、脆弱性を作りこまれないよう、Webアプリケーション作成時から対策を意識することが必要です
  • WebサーバやWebアプリケーションのミドルウェアを常に最新の状態にする
  • 脆弱性が作りこまれないようWebアプリケーションの処理を精査する
  • WAF(Web Application Firewall)、XSSフィルタなどのセキュリティ対策製品を導入する

IT管理者側

  • エンドポイントへ総合的なセキュリティソフトを導入し、常に最新の状態にする
  • ゲートウェイ上で不正サイトへの誘導を目的とした攻撃メールの受信をブロックする
  • ネットワーク内部から外部不正サイトへのアクセスをブロックする

トレンドマイクロのソリューション

ユーザ側

予防と対策 トレンドマイクロのソリューション
個人用端末にも総合的なセキュリティソフトを導入し、常に最新の状態に保つ

ウイルスバスター クラウド

  • ウイルス検索機能により、不正スクリプトを検出する
  • E-mailレピュテーション」機能により、攻撃用Webページへ誘導する不審メールをブロック

Web管理者側

予防と対策 トレンドマイクロのソリューション
Webアプリケーション保護機能を持つセキュリティソフトを導入する Trend Micro Deep SecurityのWebアプリケーション保護機能により、XSS脆弱性への攻撃をブロックする
WebサーバやWebアプリケーションのミドルウェアを常に最新の状態にする、あるいは脆弱性への対策を行う Trend Micro Deep Securityにより、脆弱性を狙った攻撃をブロックする

IT管理者側

予防と対策 トレンドマイクロのソリューション
エンドポイントへ総合的なセキュリティソフトを導入し、常に最新の状態にする ウイルスバスター コーポレートエディションの導入
ネットワーク内部から外部不正サイトへのアクセスをブロックする ウイルスバスター コーポレートエディション、InterScan Web Security Virtual Applianceなどの製品の「Webレピュテーション」機能により、外部不正サイトへのアクセスを遮断する
メールサーバにおける不審メールの検出 InterScan Messaging Security Virtual Appliance、InterScan Messaging Security Suite、Trend Micro Hosted Email Securityなどのメッセージングセキュリティ製品により、不正サイトへの誘導に繋がる不審メールを検出する