サイバー攻撃とクロスサイト・スクリプティングの違い

クロスサイト・スクリプティングはサイバー攻撃の一種

クロスサイト・スクリプティングとは、サイバー攻撃の一種です。

情報処理推進機構:情報セキュリティ:脆弱性関連情報の取扱い:知っていますか?脆弱性 (ぜいじゃくせい)/2. クロスサイト・スクリプティング にわかりやすく記載されていますが、クロスサイト・スクリプティングはウェブサイトの脆弱性を利用し、ウェブブラウザーにて悪意のあるスクリプトを実行させます。

同記事には、クロスサイト・スクリプティングを利用したサイバー攻撃例が記載されていますが、どのようにクロスサイト・スクリプティングというサイバー攻撃が成り立つのか見ていきます。

クロスサイト・スクリプティングを利用したサイバー攻撃例

サイバー攻撃者は、まずはクロスサイト・スクリプティングを実行可能な脆弱性があるウェブサイトを探し出します。どのような脆弱性かというと、ウェブサイトがあるサーバーに対し送られたスクリプトコードを、文字列ではなくウェブブラウザーがスクリプトとして解釈できる形、すなわちスクリプトコードのまま返してくるという脆弱性です。

脆弱性があっても信頼性がないウェブサイトであれば、ユーザーは引っかかりませんので、信頼できるが脆弱性があるウェブサイトを探し出します。

そこで、誰もが知っている企業の信頼できるウェブサイトに、クロスサイト・スクリプティングを実行できる脆弱性が見つかりました。そのウェブサイトを、ここではウェブサイトAとします。

ユーザーにウェブサイトAへアクセスさせるために、ウェブサイトAの URL とスクリプトコードを組み合わせたリンクを、多くの人が利用している掲示板に書き込みます。

もちろん掲示板以外の方法でも構いませんが、多くの人が利用している掲示板なら、サイバー攻撃者自身が多くの人が集まるウェブサイトを用意する必要がなく、簡単にリンクをクリックしてしまうユーザーが多くなることに期待できます。

リンクのコードを直接見られる状態にしては怪しまれてしまいますので、サイバー攻撃者はリンクタグを利用しテキストリンクにして掲示板に書き込みます。

テキストリンクのテキストは、信頼できるウェブサイトだとわかる内容にし、さらにどのようなウェブサイトなのかわかる説明も加えておくと多くのユーザーにリンクをクリックさせることができます。

ユーザーが掲示板に書き込まれたリンクを見てクリックすると、リンク先のウェブサイトAがあるサーバーは、リンクの内容に応じて何らかのメッセージを返します。

例えば、ウェブサイトAの URL とスクリプトコードを組み合わせたリンクが存在しないなら、ウェブサイトAからリンクは存在しないことを知らせるエラーメッセージが返ってきます。

そのエラーメッセージにスクリプトコードが文字列として表示されるようになっていれば問題ありませんが、先に記載したとおりの脆弱性があるウェブサイトだと、ウェブブラウザーがスクリプトとして解釈して実行できる形のスクリプトコードがエラーメッセージに含まれ、ウェブブラウザーがスクリプトを実行してしまいます。

ウェブサイトAには、そのような脆弱性があり、掲示板に書き込まれたリンクをクリックしてウェブサイトAにアクセスしてしまうと、サイバー攻撃者が仕込んだスクリプトコードが実行されてしまいます。

もちろん安全なスクリプトコードであれば問題ありませんが、スクリプトコード次第で様々な不正なことをできます。

スクリプトコードは、ウェブサイトAから来る形となるため、ウェブブラウザーはウェブサイトA内にあるスクリプトコードであると判断します。

誰もが知っている企業のウェブサイトのような信頼できるウェブサイトなら、スクリプトが実行されるように設定しているユーザーが多いでしょうから、クロスサイト・スクリプティングの被害に遭う人が多く発生する可能性があります。

信頼できるウェブサイトであってもスクリプトが実行されないように設定しておけば基本的には安全ですが、ウェブブラウザーに脆弱性があり、その設定が機能しなければスクリプトが実行されてしまいます。

キャンペーン
マウスコンピューター
安さで勝負する数少ない国内パソコンメーカーのマウスコンピューターでは、「SSDアップグレードキャンペーン!!」を実施中です。さらにパソコンを快適に使えるようになるSSDカスタマイズが5,800円から可能です。
(キャンペーン実施中)
デル
いち早く直販とBTOカスタマイズでの販売方式で大幅なコスト削減を実現したデルでは、「新春大セール」を実施中です。年末年始特別モデル販売中の他、最大17%オフクーポンでさらにお得です。
(キャンペーン実施中)
ドスパラ
長い歴史を持つ代表的なショップブランドのドスパラでは、「新春初売セール」を実施中です。ドスパラは元々安い価格で販売していますが、SSD/HDD無料アップやメモリ倍増など特典が目白押しです。
(1月11日迄)


2017/06/17 更新