クロスサイトスクリプティングとは？攻撃の手口や被害事例、対策を紹介【お役立ち情報】 | OFFICE110

「サイバー攻撃の種類と被害」記事一覧

クロスサイトスクリプティングとは？攻撃の手口や被害事例、対策を紹介

以前、掲示板サイトの1件の書き込みから、多くの人々の個人情報が盗まれる大きな事件が相次ぎました。そのひとつが、公式のアンケートを装い、名前や電話番号を入力させて情報を盗み取ったというものです。

このように、悪質なサイトへ誘導するスクリプトを仕掛け、サイトに訪れるユーザーの個人情報を盗む攻撃を「クロスサイトスクリプティング」といいます。
個人情報が流出した場合、以下のような被害を受ける可能性があり大変危険です。

そこで本記事では、クロスサイトスクリプティングとは具体的にどのような攻撃なのか解説した上で、実際の被害事例と攻撃を未然に防ぐ対策についてご紹介します。

クロスサイトスクリプティング（XSS）とは？

クロスサイトスクリプティング（XSS）とは、WEBサイトを介し、サイト利用者に悪意のあるプログラムを送って個人情報を盗む攻撃です。

具体的には、攻撃者は掲示板をはじめとしたWEBサイトの「脆弱性」を突き、悪質なサイトを誘導するスクリプトを仕掛けることでユーザーの情報を搾取します。

クロスサイトスクリプティング攻撃の仕組み

次に、クロスサイトスクリプティングの仕組み（攻撃の手順）を解説します。

クロスサイトスクリプティング攻撃を受ける原因

クロスサイトスクリプティング攻撃を受ける原因は、主に2つあります。

1つ目は、入力フォームが、どんな入力でも受け付ける設定になっているため。
サイバー攻撃にはコンピュータが理解する「プログラミング言語」が使われるのですが、このプログラミング言語が書き込める設定になっています。

2つ目は、怪しい動きをするプログラムも受け入れる設定になっているため。
利用者にクリックを促したり悪意のURLを送信できる設定になっており、サイト運営者の意図しない操作が可能です。

「フィッシング」との違い

同じように被害件数が増加しているサイバー攻撃に、「フィッシング」があります。
フィッシングは、有名企業や関係者になりすまして利用者から情報を盗む詐欺行為です。

「クロスサイトスクリプティング」も「フィッシング」も情報を盗む犯罪ですが、フィッシングは他の誰かになりすまし、メールやSMSなどのツールを使用する攻撃。
一方でクロスサイトスクリプティングは、WEBサイトの脆弱性を利用した攻撃です。

このように、情報を盗む手口や手順が大きく異なります。クロスサイトスクリプティングによって個人情報が漏洩した後に、フィッシングメールなどが届くとお考えください。

クロスサイトスクリプティングの事例

ここでは、クロスサイトスクリプティングの被害事例をご紹介します。

Amazonのスマートスピーカー「Amazon Echo」に、クロスサイトスクリプティングに対する脆弱性が判明しました。
万が一クロスサイトスクリプティングを受けると、持ち主が意図しないアプリの強制ダウンロードが可能になります。

悪意のあるアプリが知らぬ間にダウンロードされると、利用者の音声内容や電話番号・住所などの個人情報が筒抜けになる恐れがあり危険です。

2020年6月の時点で問題を修正したプログラムを配信済みですが、今後も同様の問題が発生する可能性があるため、更新情報をこまめにチェックしましょう。

クロスサイトスクリプティングに効果的な対策

次に、クロスサイトスクリプティングに遭わないための対策を、サイト利用者・運営者とサイト開発者のそれぞれにご紹介します。

サイト利用者と運営者にできること

クロスサイトスクリプティングはWEBサイトの開発時に気をつけるべき点が多いのですが、当然サイトの利用者と運営者にもできることはあります。

クロスサイトスクリプティングでは、悪意のあるページが表示されたりURLが送られるので、ウイルスや不正アクセスをブロックすればリスクを大幅に下げられます。

またクロスサイトスクリプティングはWEBサイトの脆弱性を狙った攻撃なので、OSやソフトウェアで脆弱性の修正プログラムが配信された際には、必ず最新の状態に更新しましょう。

サイト開発者にできること

クロスサイトスクリプティングの対策は、サイト開発者にかかっているといえるでしょう。
以下で、攻撃されないWEBサイトの作り方をご紹介します。

WAFの導入	WEBサイトの脆弱性を利用したサイバー攻撃を受けないよう監視
エスケープ処理	brや&などの特殊文字やプログラム言語と思われる文字を、害のない一般的な文字に変換
ホワイトリスト方式の採用	入力フォームにURLが書き込まれる際、https://から始まるURLのみ受け付ける
scriptの生成を避ける	プログラミング言語のscriptがあると攻撃を仕掛けやすいWEBサイトになるため、scriptが生成されないよう設定
cssが外部から設定できる仕組みを避ける	scriptと同様に、WEBサイトへ攻撃を仕掛けるためスペースのcssがしばしば利用されるので、外部の人間がcssを変更できないよう設定
HTMLテキストを入力できないようにする	HTML（WEBサイトをデザインする言語）を入力し悪意のあるプログラムを仕掛ける場合があるため、HTMLの記述を受け付けないよう設定

クロスサイトスクリプティング対策は、基本的にWebアプリケーション作成の段階で行なうもの。開発者は多層的な防御を意識し、Webアプリケーションの安全性を高めましょう。

セキュリティ対策商品でサイバー攻撃からしっかりガード！

人の手で作られるだけあって、脆弱性のない完璧なWEBサイトは無いに等しいといえます。
だからこそ、総合的にセキュリティ対策ができる製品を導入してサイバー攻撃を未然に防ぐことが重要です。

そこで続いては、企業のセキュリティ対策におすすめの製品を2つ厳選してご紹介します。

安心のウイルス対策ソフトなら「ESET」

効果のある対策の一つに、ウイルス対策ソフトの導入が挙げられます。
数あるウイルス対策ソフトにもし迷っているならば、軽快な動作と高い検出力で人気No.1の実績を誇る「ESET」がおすすめです。

＞法人向けセキュリティソフト「ESET」の詳細はこちら＜

セキュリティのオールインワン「Cyber Box Pro」

現代では、サイバー攻撃の脅威はクロスサイトスクリプティングだけではなく、あらゆる攻撃が企業を脅かしています。
そういった全ての攻撃から企業を守るためには、総合的なセキュリティ対策が必要不可欠です。

そこでおすすめするのが、中小企業に必要なセキュリティ機能をパッケージ化した最高峰システム「Cyber Box Pro」です。
セキュリティソフトを一つひとつ入れると高額になりますが、パッケージ化しながら月額9,800円～と安価に抑え、導入のしやすさも実現しています。

あらゆるサイバー攻撃の脅威から自社を守るためには、総合的なセキュリティ対策が必須です。
情報漏えいや不正アクセス、金銭被害などに遭う前に、「CYBER BOX PRO」を導入して対策を徹底しましょう。

さらにOFFICE110では、通常は10万円以上のセキュリティ診断を無料で実施しております！どんな対策が必要なのかお困りの方は、ぜひお気軽にOFFICE110へお問合せください。

まとめ

クロスサイトスクリプティングは、掲示板など文字を書き込めるサイトに危険なURLや文字列を書き込むことで、他の利用者を偽サイトに誘導したりウイルス感染させる攻撃です。

被害に遭わないためには、WEBサイトを開発する際に攻撃を仕掛けられない仕組みを作ること。
しかしもちろん、サイトの運営者と利用者にもできることはあります。

最近のセキュリティ対策商品は、怪しい文字列が書き込まれたサイトを警告してくれるので、頼らない手はありません。
サイバー犯罪者はどのような手口を使って攻撃してくるかわからないため、日頃から事例などセキュリティニュースにアンテナを張っておくといいでしょう。

最後に、「自社にはどのようなセキュリティ対策が必要か分からない」「何から対策を始めたら良いかわからない」そんな方は、ぜひお気軽に「OFFICE110」へご相談を。
専門知識豊富なスタッフが、セキュリティ診断から商品のご提供、導入、アフターサービスまで、トータルで徹底サポートいたします。