クロスサイト・スクリプティングとは、サイバー攻撃の一種です。
情報処理推進機構:情報セキュリティ:脆弱性関連情報の取扱い:知っていますか?脆弱性 (ぜいじゃくせい)/2. クロスサイト・スクリプティング
にわかりやすく記載されていますが、クロスサイト・スクリプティングはウェブサイトの脆弱性を利用し、ウェブブラウザーにて悪意のあるスクリプトを実行させます。
同記事には、クロスサイト・スクリプティングを利用したサイバー攻撃例が記載されていますが、どのようにクロスサイト・スクリプティングというサイバー攻撃が成り立つのか見ていきます。
サイバー攻撃とクロスサイト・スクリプティングの違い
クロスサイト・スクリプティングはサイバー攻撃の一種
クロスサイト・スクリプティングを利用したサイバー攻撃例
サイバー攻撃者は、まずはクロスサイト・スクリプティングを実行可能な脆弱性があるウェブサイトを探し出します。どのような脆弱性かというと、ウェブサイトがあるサーバーに対し送られたスクリプトコードを、文字列ではなくウェブブラウザーがスクリプトとして解釈できる形、すなわちスクリプトコードのまま返してくるという脆弱性です。
脆弱性があっても信頼性がないウェブサイトであれば、ユーザーは引っかかりませんので、信頼できるが脆弱性があるウェブサイトを探し出します。
そこで、誰もが知っている企業の信頼できるウェブサイトに、クロスサイト・スクリプティングを実行できる脆弱性が見つかりました。そのウェブサイトを、ここではウェブサイトAとします。
ユーザーにウェブサイトAへアクセスさせるために、ウェブサイトAの URL とスクリプトコードを組み合わせたリンクを、多くの人が利用している掲示板に書き込みます。
もちろん掲示板以外の方法でも構いませんが、多くの人が利用している掲示板なら、サイバー攻撃者自身が多くの人が集まるウェブサイトを用意する必要がなく、簡単にリンクをクリックしてしまうユーザーが多くなることに期待できます。
リンクのコードを直接見られる状態にしては怪しまれてしまいますので、サイバー攻撃者はリンクタグを利用しテキストリンクにして掲示板に書き込みます。
テキストリンクのテキストは、信頼できるウェブサイトだとわかる内容にし、さらにどのようなウェブサイトなのかわかる説明も加えておくと多くのユーザーにリンクをクリックさせることができます。
ユーザーが掲示板に書き込まれたリンクを見てクリックすると、リンク先のウェブサイトAがあるサーバーは、リンクの内容に応じて何らかのメッセージを返します。
例えば、ウェブサイトAの URL とスクリプトコードを組み合わせたリンクが存在しないなら、ウェブサイトAからリンクは存在しないことを知らせるエラーメッセージが返ってきます。
そのエラーメッセージにスクリプトコードが文字列として表示されるようになっていれば問題ありませんが、先に記載したとおりの脆弱性があるウェブサイトだと、ウェブブラウザーがスクリプトとして解釈して実行できる形のスクリプトコードがエラーメッセージに含まれ、ウェブブラウザーがスクリプトを実行してしまいます。
ウェブサイトAには、そのような脆弱性があり、掲示板に書き込まれたリンクをクリックしてウェブサイトAにアクセスしてしまうと、サイバー攻撃者が仕込んだスクリプトコードが実行されてしまいます。
もちろん安全なスクリプトコードであれば問題ありませんが、スクリプトコード次第で様々な不正なことをできます。
スクリプトコードは、ウェブサイトAから来る形となるため、ウェブブラウザーはウェブサイトA内にあるスクリプトコードであると判断します。
誰もが知っている企業のウェブサイトのような信頼できるウェブサイトなら、スクリプトが実行されるように設定しているユーザーが多いでしょうから、クロスサイト・スクリプティングの被害に遭う人が多く発生する可能性があります。
信頼できるウェブサイトであってもスクリプトが実行されないように設定しておけば基本的には安全ですが、ウェブブラウザーに脆弱性があり、その設定が機能しなければスクリプトが実行されてしまいます。
脆弱性があっても信頼性がないウェブサイトであれば、ユーザーは引っかかりませんので、信頼できるが脆弱性があるウェブサイトを探し出します。
そこで、誰もが知っている企業の信頼できるウェブサイトに、クロスサイト・スクリプティングを実行できる脆弱性が見つかりました。そのウェブサイトを、ここではウェブサイトAとします。
ユーザーにウェブサイトAへアクセスさせるために、ウェブサイトAの URL とスクリプトコードを組み合わせたリンクを、多くの人が利用している掲示板に書き込みます。
もちろん掲示板以外の方法でも構いませんが、多くの人が利用している掲示板なら、サイバー攻撃者自身が多くの人が集まるウェブサイトを用意する必要がなく、簡単にリンクをクリックしてしまうユーザーが多くなることに期待できます。
リンクのコードを直接見られる状態にしては怪しまれてしまいますので、サイバー攻撃者はリンクタグを利用しテキストリンクにして掲示板に書き込みます。
テキストリンクのテキストは、信頼できるウェブサイトだとわかる内容にし、さらにどのようなウェブサイトなのかわかる説明も加えておくと多くのユーザーにリンクをクリックさせることができます。
ユーザーが掲示板に書き込まれたリンクを見てクリックすると、リンク先のウェブサイトAがあるサーバーは、リンクの内容に応じて何らかのメッセージを返します。
例えば、ウェブサイトAの URL とスクリプトコードを組み合わせたリンクが存在しないなら、ウェブサイトAからリンクは存在しないことを知らせるエラーメッセージが返ってきます。
そのエラーメッセージにスクリプトコードが文字列として表示されるようになっていれば問題ありませんが、先に記載したとおりの脆弱性があるウェブサイトだと、ウェブブラウザーがスクリプトとして解釈して実行できる形のスクリプトコードがエラーメッセージに含まれ、ウェブブラウザーがスクリプトを実行してしまいます。
ウェブサイトAには、そのような脆弱性があり、掲示板に書き込まれたリンクをクリックしてウェブサイトAにアクセスしてしまうと、サイバー攻撃者が仕込んだスクリプトコードが実行されてしまいます。
もちろん安全なスクリプトコードであれば問題ありませんが、スクリプトコード次第で様々な不正なことをできます。
スクリプトコードは、ウェブサイトAから来る形となるため、ウェブブラウザーはウェブサイトA内にあるスクリプトコードであると判断します。
誰もが知っている企業のウェブサイトのような信頼できるウェブサイトなら、スクリプトが実行されるように設定しているユーザーが多いでしょうから、クロスサイト・スクリプティングの被害に遭う人が多く発生する可能性があります。
信頼できるウェブサイトであってもスクリプトが実行されないように設定しておけば基本的には安全ですが、ウェブブラウザーに脆弱性があり、その設定が機能しなければスクリプトが実行されてしまいます。
| キャンペーン(PR) |
|---|
|
安さで勝負する数少ない国内パソコンメーカーのマウスコンピューターでは、「春のパソコンセール」を実施中です。一部のモデルのみですが期間限定で最大70,000円OFFです。 (4月24日迄) デル いち早く直販とBTOカスタマイズでの販売方式で大幅なコスト削減を実現したデルでは、「今週のおすすめ製品」を実施中です。対象製品が最大20%OFFです。 (キャンペーン実施中) パソコン工房 BTOパソコン、PCパーツ、周辺機器等を安く販売するパソコン工房では、「WEB開催!スプリングセール」を実施中です。ゲーミング・クリエイター向けパソコンなどが対象です。 (4月23日迄) |
|
サイバー攻撃関連
|
2023/09/07 更新
サイバー攻撃関連
