fbpx

情報セキュリティにまつわる
お役立ち情報を発信

クロスサイトスクリプティング

 

クロスサイトスクリプティングとは

Webアプリケーションのように動的なWebサイトに対して、その脆弱性を利用してサイバー攻撃が行われる手法です。従来は、攻撃サイトから攻撃対象のサイトへ横断的に攻撃を仕掛ける事から付けられた名称でしたが、近年では横断的な攻撃で無くても、Webサイトの脆弱性を突いた攻撃の事を指すケースが多いです。

クロスサイトスクリプティングは、主に攻撃対象サイトに設置されているWebフォームのセキュリティホールを利用して、不正なデータやスクリプトを挿入する仕組みになっています。この不正なスクリプトは、Webフォームを利用した者のcookieを盗む事で、その者が利用しているサービスのパスワードなどを盗んだり、フィッシングサイトに誘導して個人情報を入力させて個人情報を取得します。

クロスサイトスクリプティングを防ぐには、Webサイトやオンラインサービスを運営している企業がサービスのセキュリティホールを塞いで、セキュリティ性を向上させる事です。

サービス運営者がXSSの対策を講じるには、HTMLタグの括弧の部分を別の記号に置き換えるエスケープ処理をします。このようにしておく事で、悪意のあるスクリプトの実行が出来なくなるからです。引用符に対しても、エスケープ処理をしておく事で脆弱な部分を突いてXSS攻撃をされるリスクを大幅に減らす事が可能になります。

XSSは放置しておくと、サービスの利用者の個人情報が盗まれ続ける原因になり、サービス運営会社にとってサービスを運営する上で信用問題になってきます。

クロスサイトスクリプティングのお役立ち情報

企業がPマーク取得のオンラインサービスを展開していくには、クロスサイトスクリプティングに対する対処は必須です。多くの場合、サイト構築時のソースコードの書き方が問題になってきますので、スクリプトを使ってオンラインサービスを構築したいのであれば、エスケープ処理が施されたWebフレームワークやWebライブラリを使ってサイト構築をしていくのが最も効果的です。

WebフレームワークやWebライブラリは、よく使う処理を独自のオブジェクトやメソッドとして纏められたものですが、現在公開されているデフォルトスタンダードであるものは、クロスサイトスクリプティング対策が施されています。その為、サイト構築をする際に、エスケープ処理を意識せずにエスケープ処理が行えますので、効率的な開発が行えます。

クロスサイトスクリプティングに対する対策を実施する事で、オンラインサービスの信頼性を高める事ができ、Pマークを取得する事が可能になってきます。Pマークを取得する事で企業が得られるメリットとしては、サービスの利用者に安心感を与える事ができ、個人情報の取り扱いがしっかりとしているという事をアピール出来る事です。

クロスサイトスクリプティングが行われやすいオンラインサービスでは、ユーザーも安心してサービスを利用する事が出来ませんので、企業は個人情報保護の観点からクロスサイトスクリプティングが行われないようにする事が大切です。

この記事を書いた人

株式会社UPF

株式会社UPF

東京都中央区に本社を構える株式会社UPFです。 日本全国を対象にPマーク(プライバシーマーク)とISMS(ISO27001)の新規取得コンサルティング、取得後の運用支援事業を展開しております。 プライバシーマークについてのお問い合わせ・ご相談は→03-6661-0846セキュリティーコンサルティング事業部まで

同じテーマの記事はこちら

すべて見る