クロスサイトスクリプティングとは？わかりやすく対策まで解説！

クロスサイトスクリプティング（XSS）は、ウェブセキュリティの脆弱性の一つで、サイバー犯罪者が他のユーザーがアクセスするウェブページにクライアント側のスクリプトを埋め込むことによって発生します。

正直なところ、クロスサイトスクリプティングと言われてもイメージが浮かばないと思います。

複雑で危険なウェブセキュリティの問題について深く掘り下げ、クロスサイトスクリプティングから身を守るための実践的な対策をなるべく、わかりやすくご紹介します。

安全なオンライン環境を維持するためには、これらのリスクを理解し、適切な対策を講じることが不可欠です。それでは、クロスサイトスクリプティングの基本や仕組み、対策まで、詳しく見ていきましょう。 

クロスサイトスクリプティングとは

クロスサイトスクリプティング（XSS）は、ウェブセキュリティにおける主要な脆弱性の一つです。この攻撃は、悪意のあるアクターがウェブページにクライアントサイドのスクリプト（通常はJavaScript）を注入することで発生します。注入されたスクリプトは、無実のユーザーがそのページを訪れる際に実行され、ユーザーのブラウザで動作します。この攻撃の結果、攻撃者はユーザーのセッションデータを盗んだり、ウェブページの表示を変更したり、ユーザーに偽の情報を表示させるなどの行動が可能になります。

そして、このクロスサイトスクリプティング（XSS）攻撃には主に3つの種類があります。

詳しくこの3つの種類を次の章で見ていきましょう。

クロスサイトスクリプティングの種類

クロスサイトスクリプティングには、3つのタイプがあります。反射型XSS、格納型XSS、DOMベース型XSSと呼ばれるものです。

それぞれのクロスサイトスクリプティングの種類を見ていきましょう。

• 反射型XSS（クロスサイトスクリプティング）
• 格納型XSS（クロスサイトスクリプティング）
• DOM​​ベースXSS（クロスサイトスクリプティング）

反射型XSS（クロスサイトスクリプティング）

反射型XSS（クロスサイトスクリプティング）は、攻撃者がウェブページのURLやフォームに悪意のあるコードを挿入し、そのコードが他のユーザーに直接表示されるウェブセキュリティの脆弱性です。ユーザーが改ざんされたリンクをクリックしたり、操作されたフォームを送信したりすると、そのスクリプトがブラウザ内で実行されます。

この攻撃の特徴は、攻撃者が犠牲者をだまして、偽のリンクをクリックさせたり、急いで行動させたりする点です。「今すぐクリック」や「60分間限定」といった緊急性を示すメッセージを使って、ユーザーを誘導します。反射型XSSの重要な点は、悪意あるスクリプトがサーバーに保存されず、操作されたリンクをクリックする個々のユーザーにのみ影響を与えることです。これにより、ユーザー自身のブラウザでのみスクリプトが実行され、他のユーザーには影響しません。

格納型XSS（クロスサイトスクリプティング）

格納型XSS（クロスサイトスクリプティング）は、攻撃者がウェブページのデータベースに悪意のあるスクリプトを埋め込み、それがサーバー上で保存されるタイプのセキュリティ脆弱性です。この攻撃では、悪意あるコードがウェブページの永続的なコンテンツの一部となります。その後、他のユーザーがそのコンテンツを表示するページにアクセスすると、そのユーザーのブラウザでスクリプトが実行され、セキュリティ上のリスクが発生します。例えば、個人情報の漏洩やセッションハイジャックなどが可能になります。

格納型XSSの危険性は、悪意のあるペイロードが長期間にわたってアクティブになり、そのページを訪れるすべてのユーザーに影響を与える点にあります。これにより、多数のユーザーがリスクにさらされる可能性があり、反射型XSSよりも潜在的な被害が大きいとされます。ウェブサイトのオーナーとしては、ユーザーからの入力を適切に処理し、検証することでこのタイプの攻撃を防ぐことが重要です。

DOM​​ベースXSS（クロスサイトスクリプティング）

DOM​​ベースのXSS（クロスサイトスクリプティング）は、ウェブページのドキュメントオブジェクトモデル（DOM）に直接影響を及ぼす攻撃方法です。DOMはウェブページの構造や内容、スタイルを制御するブラウザのプログラミングインターフェースです。この攻撃では、サイバー犯罪者がウェブページのJavaScript変数や要素を変更して、ページの既存コンテンツを不正に操作します。

このタイプのXSS攻撃は、サーバーサイドの脆弱性に起因するものではなく、ウェブアプリケーションがクライアントサイドでどのようにユーザーの入力を処理し、動的にコンテンツを生成するかに依存します。DOMベースのXSSの特徴は、ウェブアプリケーションのクライアントサイドコードの挙動を悪用することであり、ウェブアプリケーションがどのように動的コンテンツを扱うかを理解する必要があるため、特定や対策が難しい場合があります。このような攻撃を防ぐためには、ウェブアプリケーションの開発者が安全なプログラミング慣行を採用し、ユーザー入力の取り扱いに注意を払うことが重要です。

クロスサイトスクリプティングの仕組みと手口

クロスサイトスクリプティングは、サイバー犯罪者がウェブサイトのコンテンツに悪意のあるスクリプトを埋め込むことで機能し、コメントセクションや入力フィールドなどの場所で頻繁に発生します。 この実際のクロスサイトスクリプティングの主な仕組みをわかりやすく見ていきましょう。

この攻撃のメカニズムの例は以下のような流れになっています。

• 1. 悪意のあるスクリプトの注入
• 2. スクリプトの実行
• 3. アクセスした人が悪影響を受ける

1. 悪意のあるスクリプトの注入

攻撃者は、ウェブアプリケーションがユーザーからの入力を適切に検証またはエスケープしていないことを見つけます。

攻撃者は、フォーム入力、URLパラメータ、または他の手段を通じて、ウェブページに悪意のあるスクリプトを注入します。

2. スクリプトの実行

無実のユーザーが攻撃されたウェブページにアクセスします。

ページがロードされると、注入された悪意のあるスクリプトがユーザーのブラウザで実行されます。

3. アクセスした人が悪影響を受ける

実行されたスクリプトは、ユーザーのセッション情報を盗む、ウェブページの内容を変更する、偽のフォームを表示するなど、さまざまな悪意ある行動を行うことができます。

これにより、ユーザーのプライバシーやセキュリティが侵害される可能性があります。

クロスサイトスクリプティングがなぜ危険なのか

クロスサイトスクリプティングには、信頼できるウェブサイトを悪意のあるウェブサイトに変換する、データの盗難、セッションハイジャック、マルウェア感染など、多くの危険があります。 

信頼できるウェブサイトが悪意のあるウェブサイトに変わる可能性がある

クロスサイトスクリプティング攻撃は、一見安全で評判の良いウェブサイトを、悪意のあるスクリプトを配信する手段にする場合があります。 サイバー犯罪者はウェブサイトにこれらのスクリプトを埋め込むことで、ユーザーに表示されるコンテンツを操作し、データが盗まれる可能性のある有害な行動に関与させることができます。

データの盗難

クロスサイトスクリプティング攻撃の最大の危険の1つは、サイバー犯罪者がユーザーの個人情報、ログイン情報、財務データなどの重要な情報を盗むことです。この攻撃では、悪意あるスクリプトがウェブページに埋め込まれます。ユーザーがそのページとやり取りすると、このスクリプトが動作し、ユーザーが意識しないうちに機密情報を収集することが可能になります。たとえば、ユーザーがフォームに入力した情報やブラウザに保存されているログインデータなどが、無意識のうちに攻撃者の手に渡ることがあります。

セッションハイジャック

クロスサイトスクリプティング攻撃の一つの目的は、ユーザーのセッションクッキーを盗むことです。セッションクッキーは、ウェブサイトがユーザーがサイトを訪れる間、そのブラウザに保存する小さなデータのことです。これらのクッキーはウェブサイトがユーザーのログイン状態を追跡し、サイト内でのさまざまな活動を可能にするために使われます。攻撃者がこのクッキーを手に入れると、ユーザーになりすましてそのアカウントにログインし、個人情報やその他の機密データを盗むことができます。つまり、クロスサイトスクリプティング攻撃によって、攻撃者はユーザーのアイデンティティを奪い、その結果、ユーザーのデータやプライバシーに重大な危険をもたらす可能性があります。

マルウェア

サイバー犯罪者は、クロスサイトスクリプティングの脆弱性を悪用して、ウェブサイトのコンテンツにマルウェアを埋め込むことがあります。マルウェアとは、サイバー犯罪者がユーザーのデバイスに知らないうちにインストールする、悪意のあるソフトウェアです。 インストールされているマルウェアの種類によっては、カメラやマイクにアクセスしたり、キー操作を追跡したりするなど、さまざまなことが可能です。ユーザーが侵害されたウェブページにアクセスすると、悪意のあるスクリプトがマルウェアのダウンロードを引き起こし、デバイスが感染し、機密データが漏洩する可能性があります。 

クロスサイトスクリプティング（XSS）の攻撃事例

クロスサイトスクリプティング（XSS）の事例は、さまざまな形で発生しています。あなたが今アクセスしているサイトも本当の公式サイトかしっかり確認するべきです。

以下は、実際に起きたクロスサイトスクリプティング攻撃の代表的な例です。

ソーシャルメディアプラットフォーム上に潜むXSS

例えば、TwitterやFacebookなどのソーシャルメディアプラットフォームは、過去にXSS攻撃のターゲットとなったことがあります。ユーザーがクリックすると悪意あるスクリプトが実行されるようなリンクを含む投稿が作成され、多くのユーザーのアカウント情報が危険にさらされました。

一時期、Facebookなどでは「Raybanのサングラスが2,999円」などといった悪意のあるスクリプトが組み込まれたサイトの設置による、クロスサイトスクリプティング攻撃も流行っていました。

ウェブベースのアプリケーションのXSS

オンラインショッピングサイトや金融サービスなど、ユーザーが個人情報を入力するウェブベースのアプリケーションでもXSS攻撃が発生しています。例えば、ユーザーが製品のレビューを入力するときに悪意あるスクリプトが注入され、他のユーザーがそのレビューを閲覧する際に情報漏洩のリスクにさらされることがあります。

人気のあるウェブサイトのXSS

有名なニュースサイトや情報ポータルサイトでもXSS攻撃が報告されています。これらのサイトは大量のトラフィックを持つため、攻撃者にとって魅力的なターゲットとなります。コメントセクションやユーザーフォーラムでの悪意あるスクリプトの注入が一例です。

XSSを利用したフィッシング攻撃

XSSはフィッシング攻撃にも利用されることがあります。攻撃者は、信頼できるウェブサイトに見せかけたページにユーザーを誘導し、そのページで悪意あるスクリプトを実行させることで、ユーザーの認証情報や個人情報を盗み取ります。

これらの事例からわかるように、XSS攻撃はウェブのあらゆる領域で発生する可能性があり、ウェブサイトのオーナーや開発者は、これらの脅威に対して常に警戒し、適切なセキュリティ対策を講じることが必要です。

クロスサイトスクリプティングから身を守る対策方法

クロスサイトスクリプティングから身を守る対策方法をいくつかご紹介します。

• 専用パスワードマネージャーを使用する
• アカウントでMFAを有効にする
• 常にソフトウェアを最新の状態に保つ
• セキュリティ拡張機能をインストールする
• 疑わしいリンクをクリックしない
• ブラウザのデータを定期的に消去する

専用パスワードマネージャーを使用する

専用パスワードマネージャーは、パスワードを安全に保存および管理するために設計されたツールです。 一部の専用パスワードマネージャーは、ゼロ知識などの強力な暗号化を使用してデータを保護しています。 覚えておく必要があるのはマスターパスワードだけです。マスターパスワードは、保存データを復号化して暗号化するために使用します。 ブラウザの脆弱性による影響を最小限に抑えるため、クロスサイトスクリプティングから自分自身とデータを安全に保つには、専用のパスワードマネージャーを使用することが効果的な対策になります。

現在ブラウザベースのパスワードマネージャーを使用している場合、クロスサイトスクリプティングといったブラウザの脆弱性に影響を受けやすくなります。これは、ブラウザのパスワードマネージャーが頻繁にログイン状態を保っており、専用のパスワードマネージャーと同等のセキュリティを提供していないためです。 

アカウントでMFAを有効にする

多要素認証（MFA）は、アクセスを許可する前に1つ以上の認証方法を要求することにより、アカウント保護をさらに強化します。 MFAを有効にすることが重要な理由は、サイバー犯罪者がクロスサイトスクリプティング攻撃やその他の方法でパスワードを侵害したとしても、アカウントにアクセスするにはさらに認証要素が必要になるためです。 

常にソフトウェアを最新の状態に保つ

ソフトウェア、オペレーティングシステム、ウェブブラウザ、ウェブブラウザにインストールされているプラグインや拡張機能を定期的にアップデートすることが、サイバー犯罪者による悪用を防ぐために不可欠です。 アップデートは新機能を提供するだけでなく、ソフトウェアとデバイスにセキュリティパッチを提供して、サイバー犯罪者が容易に悪用できる既知の脆弱性を修正します。 

セキュリティ拡張機能をインストールする

広告ブロッカーやスクリプトブロッカーなどのセキュリティ拡張機能をインストールすると、ブラウザに悪意のあるスクリプトが埋め込まれているというリスクを軽減できるため、クロスサイトスクリプティング攻撃の対策として有効です。

• 広告ブロッカー：広告ブロッカーは、ウェブサイトで広告が再生されないようにするソフトウェアです。 広告ブロッカーの機能は、画像やスクリプトなどの広告と関連付けられた要素を特定し、ブロックすることです。 広告ブロッカーは、クロスサイトスクリプティング攻撃で使われるものを含め、有害なスクリプトを含んでいるかもしれない悪意ある広告を表示させないようにできます。
• スクリプトブロッカー：スクリプトブロッカーは、ユーザーがウェブサイトでスクリプトの実行を制御できるようにするブラウザ拡張機能です。 これらの拡張機能を使用すると、信頼できるソースやドメインをホワイトリストに登録し、疑わしいソースや不明のソースからはスクリプトをブロックできます。 スクリプトブロッカーを使用すると、ユーザーのブラウザが悪意のあるスクリプトを実行できないようにします。 スクリプトブロッカーが、特定のウェブサイトの機能に影響を及ぼす場合があることに留意することが重要です 。

理由としては、正規のスクリプトもブロックする場合があり、多くのウェブサイトのユーザーエクスペリエンスに影響を及ぼす可能性が非常に高いためです。 

疑わしいリンクをクリックしない

リンクをクリックする際には、特に内容が不明だったり信頼できないリンクに注意しましょう。 クリックする前にリンクの上にカーソルを合わせて実際の URL を表示し、正規の URL にリンクされているか確認してください。 Google Transparency Report などの URLチェッカーを使用して、リンクが安全なウェブサイトにリンクされているか確認することもできます。 

ブラウザのデータを定期的に消去する

ブラウザのキャッシュ、クッキー、履歴を定期的に消去することが重要です。 これにより、サイバー犯罪者が侵害されたページのキャッシュバージョンにアクセスしたり、セッションハイジャックに使用され得る保存セッション情報を悪用したりするのを事前に対策して、防ぐことができます。

まとめ：クロスサイトスクリプティングを対策して安全を確保しよう

クロスサイトスクリプティング（XSS）は、ウェブセキュリティの大きな脅威ですが、適切な対策を施すことで防ぐことが可能です。

クロスサイトスクリプティングについての理解は、この種のサイバー脅威から自分自身とデータを保護する方法を理解するのに不可欠です。 オンラインアカウントを安全に保ち、さまざまなサイバー脅威から対策していく第一歩です。 現在、Keeperのパスワードマネージャーは無料30日間トライアル体験を開催しているので、この機会に試してみてはいかがでしょうか。