入社一年目のセキュリティ奮闘記　第5回　～クロスサイトスクリプティングとは？～

入社一年目のセキュリティ奮闘記　第5回　～クロスサイトスクリプティングとは？～

あけましておめでとうございます。本年も宜しくお願い致します。Shinoです。

私の今年の目標は、去年よりも自分にできることを増やす　です。
当然といえば当然かもしれませんが、自分のできることの引き出しを増やしていき、周りから頼られる存在になりたいと思っています。そのために、何事も積極的に行動していきたいです。

前回はPCI DSSに準拠することのメリットについて取り上げました。
（↓第一回～第四回の記事もこちらからぜひご覧ください。）
第一回　脆弱性とは？
第二回　SQLインジェクションとは？
第三回　PCI DSSとは？（前編）
第四回　PCI DSSとは？（後編）

皆さんはクロスサイトスクリプティングという言葉を聞いたことがあるでしょうか。
私は三和コムテックに入って初めて聞いた言葉で、最初は格闘技の必殺技か何かだと勝手に思っていました。
弊社で扱っているクラウドスキャンには、クロスサイトスクリプティングの診断項目があり、実は放っておくと大変なことになってしまう脆弱性なのです。

今回は、クロスサイトスクリプティングとは何か、どのような被害があるか、その対策について取り上げます。

クロスサイトスクリプティングとは

クロスサイトスクリプティングとは、Webサイトに利用されるアプリケーションの脆弱性もしくはその脆弱性を悪用した攻撃のことで、脆弱性のあるWebサイトを踏み台に、悪意のあるプログラムをそのサイトの訪問者に送り込む手法のことです。
（参考記事：IT用語辞典 e-Words）

つまり、悪意のある人がWebサイトにイタズラし、そのイタズラされたホームページを訪問者が見ることによって、大事な情報を盗られたり、外部に漏れてしまうなどの被害に遭うという攻撃のことです。

なぜクロスサイトスクリプティングというのかというと、悪意ある第三者が作成した不正なスクリプトを挿入することによって、標的になったサイトとは別のサイトに情報を送信することから、このように呼ばれているそうです。
（参考記事：IT用語辞典 e-Words）

クロスサイトスクリプティングの代表的な例が載っているサイトがありましたので、フローを交えながら解説します。

1. 1. 攻撃者がクロスサイトスクリプティングに対して脆弱性のあるA社を発見し、A社に興味を持ちそうなユーザーのいる掲示板サイトBに罠を仕掛ける。
   
2. ユーザーが掲示板サイトBを閲覧する。
   
3.  掲示板サイトB内でスクリプトを実行。
   
4. ユーザーはスクリプト情報を持ったままA社のページに移動（クロスサイト）する。
   
5. スクリプトの効果により「A社のサイトとして」表示された偽サイトにジャンプする。
   
6. 騙されたユーザーが情報を入力した結果、スクリプトが悪さをする。
   
7. 攻撃者の手により、マルウェア感染・攻撃者への情報漏洩などユーザーに対して様々な被害が発生。

このように、クロスサイトスクリプティングは一見すると気が付きづらいので、たとえ偽サイトに繋がっていたとしてもわからず、気づいたときには情報漏洩していた...という結果になってしまいます。
（参考記事：サイバーセキュリティ.com）

被害の事例

次に、クロスサイトスクリプティングの被害について取り上げます。
皆さんもよく知っている世界規模の某動画サイトや某SNSに、クロスサイトスクリプティング攻撃を受けた事例が見つかっています。
それ以外にも大手出版社のWebサイトがクロスサイトスクリプティングの被害を受けています。

（参考記事：ITメディア）

（参考記事：CNET JAPAN）

事例を見て、ユーザー数が多いサイトやサービスに対して、仕掛けられることが多いのだろうか？と疑問に思う人も多いのではないでしょうか。
しかし、社内で聞いたところ、知名度の有無、ユーザー数の大小にかかわらず、仕掛けられることがあるとのことなので、油断はできません。

私は動画サイトやSNSを常日頃からよく利用しています。
上記のインシデントから、普段使っているサイトやサービスから情報が洩れる可能性もあると知り、不安を感じました。