情報セキュリティ(29) サイバー攻撃の手口② Webサイト攻撃
サイバー攻撃の手口として、先回書いた詐欺メール(BEC)と並び、Webサイトへの攻撃はとても多いです。
ここでは、その代表例であるクロスサイトスクリプティング(XSS = cross site scripting)攻撃について説明します。XSS攻撃とは、悪意のあるスクリプト(プログラム)を標的となるサイトに埋め込む攻撃です。
①攻撃手順
XSSの攻撃手順は、次の方法が一般的です。
(1)まず攻撃者は攻撃スクリプトを格納したサイトを準備します。
(2)さらに攻撃者は一般ユーザをこのサイトに誘導し、攻撃スクリプトをそのユーザのブラウザに感染させます。
(3)そのユーザが標的サイトに対してアクセスした際に、攻撃スクリプトが動作し、ユーザが入力したログイン情報や、個人情報などを盗み取ります。
(4)攻撃スクリプトは、盗み取った情報などを、攻撃者宛てに送信するなどして漏洩させます。
②XSS攻撃の被害
情報漏洩の他、重要な本物のWebサイト上に偽のページを表示して偽情報を発信したり、振込情報を変更するなど詐欺に利用したりします。
また、ブラウザ内に保存される情報(Cookie)を流出し、セッションIDを乗っ取ってなりすましをしたり、逆にセッションIDをユーザのcookieに書き込んで攻撃者が重要情報にアクセスできるようにする、などがあげられます。
③対策
Webページに出力する要素に対してHTMLで意味のある文字に対してエスケープ処理を行う、<script>…</script>要素を動的に生成しない、Webページの入力時の内容をチェックしHTML要素の入力を許可しない、などがあげられます。つまり、Webページ上で、意図する動作以外のHTMLのスクリプトが実行されないよう、入出力する文字列を管理するということになります。