セキュリティ解説『第二回』攻撃：クロスサイトスクリプティング

こんにちは営業部の【けーえむ】です。

サイバー攻撃を受ける。という言葉を聞くと、
DoS攻撃の様に外部からダメージを与えられる事を想像する方も多いと思います。

しかし、そのような攻撃はDoS攻撃のみで、他の攻撃は、罠を仕掛けたり
、情報を搾取したりする行為である事が殆どです。

セキュリティ解説第二回は罠を仕掛けるタイプのサイバー攻撃【クロスサイトスクリプティング】
について解説していきたいと思います。

クロスサイトスクリプティングとは「他人のWebサイトへ悪意のあるスクリプトを埋め込む」攻撃手法です。
訪問者がそのWebサイトにアクセスすることで不正なスクリプトが実行されてしまいます。

スクリプトは「javascript」や「htmlタグ」が使われます。

■クロスサイトスクリプティングを使用した攻撃例1
訪問者のクッキー情報を抜き取るスクリプトを埋め込む事による「セッションハイジャック」

1)攻撃者がクロスサイトスクリプティングの【脆弱性のあるサイト】にスクリプトを仕込む
2)訪問者がそのサイトにアクセスする
　→訪問者のWEBブラウザで不正なスクリプトが実行される
　　→不正なスクリプトにより訪問者のCookie情報が攻撃者に送信される
3)攻撃者は訪問者のCookie情報を取得する

■クロスサイトスクリプティングを使用した攻撃例2
訪問者の個人情報の入力を促す入力フォームを埋め込むことによる、個人情報の搾取

1)攻撃者がクロスサイトスクリプティングの脆弱性のあるサイトにスクリプトを仕込む
2)訪問者がそのサイトにアクセスする
　→スクリプトにより偽サイトに遷移させられる
　　→偽サイトだとは気付かずに情報の入力を行う
3)攻撃者は訪問者の個人情報を取得する

【脆弱性のあるサイト】が自社のサーバーである場合、
不正アクセスを受けた被害者の様に見えますが、
訪問者がセッションハイジャックや個人情報の搾取を
受けたのは、【脆弱性のあるサイト】が原因となります。

その為、【脆弱性のあるサイト】は被害者ではなく加害者となってしまうのです。

クロスサイトスクリプティング攻撃はプログラム側で無効化する事が可能です。

しかしながら、担当者の変更や、開発のアウトソースにより
不本意に脆弱性が残っている場合があります。

そのような場合においても、セキュリティソリューションにより
脆弱性を発見、無効化する事が可能です。

脆弱性診断により脆弱性を発見
ネットアシスト取り扱い脆弱性診断サービス
WAF（Web Application Firewall）により脆弱性を無効化
ネットアシスト取り扱いWAFサービス

知らず知らずのうちに加害者になってしまう前に是非ともご検討下さい。