情報セキュリティ講座(97)　クロスサイトスクリプティング①

クロスサイトスクリプティング(XSS = Cross Site Scripting)は、代表的なWebによるサイバー攻撃です。

典型的な手口は、次の通りです。

まず攻撃者は、SNSなどの動的なサイトAに、悪意あるスクリプトを仕掛けます。

さらに攻撃者は、メールなどでユーザをこのサイトにアクセスさせて、このスクリプトをクッキーなどでユーザのPCに忍び込みます。ユーザは、別のサイトBに移動します。このサイトB は、攻撃者が予め見つけた脆弱性のあるサイトです。

ユーザがサイトBを開くと、スクリプトが働いて、攻撃者が仕掛けたニセポップアップが開きます。ユーザはそれと知らず、IDやパスワードなどを入力すると、スクリプトがさらに働いて、情報を攻撃者の元に届けるというものです。

脆弱性があるのはサイトBなのですが、直接の被害を被るのは、個人情報を盗み出されるユーザーです。脆弱性があるというのは、例えばユーザが入力した内容が、そのまま画面に表示するような仕掛けの場合、スクリプトが動作しやすくなるのです。

XSSによる被害は、他のサイバー攻撃に比べても、非常に多いです。そのため、脆弱性を回避するための対策が必要です。

対策としては、いくつかの方法が提起されていますので、明日書いていきたいと思います。