確かな品質と最安値で、お客様は全国12万社。
会社情報

クロスサイトスクリプティングとは?攻撃の手口や被害事例、対策を紹介

「サイバー攻撃の種類と被害」記事一覧

クロスサイトスクリプティングとは?攻撃の手口や被害事例、対策を紹介

以前、掲示板サイトの1件の書き込みから、多くの人々の個人情報が盗まれる大きな事件が相次ぎました。そのひとつが、公式のアンケートを装い、名前や電話番号を入力させて情報を盗み取ったというものです。

このように、悪質なサイトへ誘導するスクリプトを仕掛け、サイトに訪れるユーザーの個人情報を盗む攻撃を「クロスサイトスクリプティング」といいます。
個人情報が流出した場合、以下のような被害を受ける可能性があり大変危険です。

  1. 迷惑メールや勧誘電話が増加する
  2. 架空請求や詐欺などの標的にされる
  3. 不正利用により金銭的な損害を被る

そこで本記事では、クロスサイトスクリプティングとは具体的にどのような攻撃なのか解説した上で、実際の被害事例と攻撃を未然に防ぐ対策についてご紹介します。

この記事の目次

  1. 1.クロスサイトスクリプティング(XSS)とは?

  2. 2.クロスサイトスクリプティングの事例
  3. 3.クロスサイトスクリプティングに効果的な対策

  4. 4.セキュリティ対策商品でサイバー攻撃からしっかりガード!

  5. 5.まとめ

クロスサイトスクリプティング(XSS)とは?

クロスサイトスクリプティング(XSS)とは、WEBサイトを介し、サイト利用者に悪意のあるプログラムを送って個人情報を盗む攻撃です。

具体的には、攻撃者は掲示板をはじめとしたWEBサイトの「脆弱性」を突き、悪質なサイトを誘導するスクリプトを仕掛けることでユーザーの情報を搾取します。

脆弱性とは?

コンピュータのOSやソフトウェアにおいて、プログラムの不具合や設計上のミスが原因となって発生した情報セキュリティ上の欠陥(セキュリティホール)。

クロスサイトスクリプティング攻撃の仕組み

https://www.kagoya.jp/howto/it-glossary/security/xss/

次に、クロスサイトスクリプティングの仕組み(攻撃の手順)を解説します。

    【クロスサイトスクリプティングの攻撃手順】

  1. 1.WEBサイトに悪意のあるプログラムを埋め込む
  2. 2.利用者がWEBサイトを訪れる
  3. 3.知らずに文字を書き込みクリック
  4. 4.偽サイトのURLが送られる
  5. 5.URLをクリック
  6. 6.利用者の情報が漏洩
ということは、偽サイトのURLをクリックしなければ良いんですよね?
極論を言えば、そうですね。しかし、クロスサイトスクリプティングではユーザーを巧みに誘導しクリックさせるため、完全に避けるのは難しいといえるでしょう。

クロスサイトスクリプティング攻撃を受ける原因

クロスサイトスクリプティング攻撃を受ける原因は、主に2つあります。

1つ目は、入力フォームが、どんな入力でも受け付ける設定になっているため。
サイバー攻撃にはコンピュータが理解する「プログラミング言語」が使われるのですが、このプログラミング言語が書き込める設定になっています

2つ目は、怪しい動きをするプログラムも受け入れる設定になっているため。
利用者にクリックを促したり悪意のURLを送信できる設定になっており、サイト運営者の意図しない操作が可能です。

「フィッシング」との違い

同じように被害件数が増加しているサイバー攻撃に、「フィッシング」があります。
フィッシングは、有名企業や関係者になりすまして利用者から情報を盗む詐欺行為です。

「クロスサイトスクリプティング」も「フィッシング」も情報を盗む犯罪ですが、フィッシングは他の誰かになりすまし、メールやSMSなどのツールを使用する攻撃。
一方でクロスサイトスクリプティングは、WEBサイトの脆弱性を利用した攻撃です。

このように、情報を盗む手口や手順が大きく異なります。クロスサイトスクリプティングによって個人情報が漏洩した後に、フィッシングメールなどが届くとお考えください。

クロスサイトスクリプティングの事例

ここでは、クロスサイトスクリプティングの被害事例をご紹介します。

Amazonのスマートスピーカー「Amazon Echo」に、クロスサイトスクリプティングに対する脆弱性が判明しました。
万が一クロスサイトスクリプティングを受けると、持ち主が意図しないアプリの強制ダウンロードが可能になります。

悪意のあるアプリが知らぬ間にダウンロードされると、利用者の音声内容や電話番号・住所などの個人情報が筒抜けになる恐れがあり危険です。

2020年6月の時点で問題を修正したプログラムを配信済みですが、今後も同様の問題が発生する可能性があるため、更新情報をこまめにチェックしましょう。

クロスサイトスクリプティングに効果的な対策

次に、クロスサイトスクリプティングに遭わないための対策を、サイト利用者・運営者サイト開発者のそれぞれにご紹介します。

サイト利用者と運営者にできること

クロスサイトスクリプティングはWEBサイトの開発時に気をつけるべき点が多いのですが、当然サイトの利用者と運営者にもできることはあります。

    【サイトの利用者と運営者がすべき対策】

  • OSと使用するソフトのバージョンを最新に保つ
  • ウイルス対策ソフトの導入
  • 不正アクセスを完全ブロック

クロスサイトスクリプティングでは、悪意のあるページが表示されたりURLが送られるので、ウイルスや不正アクセスをブロックすればリスクを大幅に下げられます

またクロスサイトスクリプティングはWEBサイトの脆弱性を狙った攻撃なので、OSやソフトウェアで脆弱性の修正プログラムが配信された際には、必ず最新の状態に更新しましょう。

サイト開発者にできること

クロスサイトスクリプティングの対策は、サイト開発者にかかっているといえるでしょう。
以下で、攻撃されないWEBサイトの作り方をご紹介します。

WAFの導入 WEBサイトの脆弱性を利用したサイバー攻撃を受けないよう監視
エスケープ処理 brや&などの特殊文字やプログラム言語と思われる文字を、害のない一般的な文字に変換
ホワイトリスト方式の採用 入力フォームにURLが書き込まれる際、https://から始まるURLのみ受け付ける
scriptの生成を避ける プログラミング言語のscriptがあると攻撃を仕掛けやすいWEBサイトになるため、scriptが生成されないよう設定
cssが外部から設定できる仕組みを避ける scriptと同様に、WEBサイトへ攻撃を仕掛けるためスペースのcssがしばしば利用されるので、外部の人間がcssを変更できないよう設定
HTMLテキストを入力できないようにする HTML(WEBサイトをデザインする言語)を入力し悪意のあるプログラムを仕掛ける場合があるため、HTMLの記述を受け付けないよう設定
クロスサイトスクリプティング対策は、基本的にWebアプリケーション作成の段階で行なうもの。開発者は多層的な防御を意識し、Webアプリケーションの安全性を高めましょう

セキュリティ対策商品でサイバー攻撃からしっかりガード!

人の手で作られるだけあって、脆弱性のない完璧なWEBサイトは無いに等しいといえます。
だからこそ、総合的にセキュリティ対策ができる製品を導入してサイバー攻撃を未然に防ぐことが重要です。

そこで続いては、企業のセキュリティ対策におすすめの製品を2つ厳選してご紹介します。

安心のウイルス対策ソフトなら「ESET」

ESET

効果のある対策の一つに、ウイルス対策ソフトの導入が挙げられます。
数あるウイルス対策ソフトにもし迷っているならば、軽快な動作と高い検出力で人気No.1の実績を誇る「ESET」がおすすめです。

「ESET」の特徴

  • 設定画面がシンプルなのでセキュリティ初心者にもおすすめ
  • 3種類のパッケージがあり、どこまで守って欲しいかを選べる
  • 攻撃の踏み台など不正アクセスをしっかり防止
  • 新発見のウイルスでも即座にブロック
  • アカウントのログイン情報を一元管理し漏洩させない

法人向けセキュリティソフト「ESET」の詳細はこちら

無料のウイルス対策ソフトもありますが、やはり有料ソフトの方がいいんでしょうか?
無料のセキュリティソフトは、有料よりも性能や機能が劣るだけではなく、サポート体制も不十分です。機密データや顧客情報などを扱う企業ならなおさら、「ESET」などの有料ソフトをおすすめします!

セキュリティのオールインワン「Cyber Box Pro」

CYBER BOX PRO

現代では、サイバー攻撃の脅威はクロスサイトスクリプティングだけではなく、あらゆる攻撃が企業を脅かしています。
そういった全ての攻撃から企業を守るためには、総合的なセキュリティ対策が必要不可欠です。

そこでおすすめするのが、中小企業に必要なセキュリティ機能をパッケージ化した最高峰システム「Cyber Box Pro」です。
セキュリティソフトを一つひとつ入れると高額になりますが、パッケージ化しながら月額9,800円~と安価に抑え、導入のしやすさも実現しています。

「CYBER BOX PRO」の特徴

  1. 1.タフで高機能、大容量のNAS
    大容量7.3TBのBOX型オリジナルデスクトップサーバ。
    SSD搭載で高速起動を実現、障害時の切り分けも簡単です。
  2. 2.リアルタイムバックアップで安心
    ファイルやメールのデータ変化をリアルタイムに検知・バックアップ。
    99世代までのデータを戻すことができます。
  3. 3.ファイル共有・アクセス権限の変更が可能
    ファイルごとにアクセス権限を変更し、閲覧・編集が可能。
    社内外からのデータのやり取りも安心かつ簡単です。
  4. 4.全ての機器のログ解析も
    リアルタイムで、様々なログを手間なく確実に記録。
    不正操作を防止し、原因の調査も簡単です。
  5. 5.セキュリティソフトでサイバー攻撃を防ぐ
    PCウイルスや不正侵入などから、PCやサーバを防御。
    未知の脅威に対しても効果を発揮します。
  6. 6.トラブル時にも安心の遠隔サポートも
    トラブル時には、サポートチームが遠隔でサポート。
    余計な手間もコストもかけず、簡単に問題を解決できます。

あらゆるサイバー攻撃の脅威から自社を守るためには、総合的なセキュリティ対策が必須です。
情報漏えいや不正アクセス、金銭被害などに遭う前に、「CYBER BOX PRO」を導入して対策を徹底しましょう。

さらにOFFICE110では、通常は10万円以上のセキュリティ診断を無料で実施しております!どんな対策が必要なのかお困りの方は、ぜひお気軽にOFFICE110へお問合せください。

中小企業に必要なセキュリティ機能がこれ1台に!『CYBER BOX PRO』

まとめ

クロスサイトスクリプティングは、掲示板など文字を書き込めるサイトに危険なURLや文字列を書き込むことで、他の利用者を偽サイトに誘導したりウイルス感染させる攻撃です。

被害に遭わないためには、WEBサイトを開発する際に攻撃を仕掛けられない仕組みを作ること。
しかしもちろん、サイトの運営者と利用者にもできることはあります。

最近のセキュリティ対策商品は、怪しい文字列が書き込まれたサイトを警告してくれるので、頼らない手はありません。
サイバー犯罪者はどのような手口を使って攻撃してくるかわからないため、日頃から事例などセキュリティニュースにアンテナを張っておくといいでしょう。

最後に、「自社にはどのようなセキュリティ対策が必要か分からない」「何から対策を始めたら良いかわからない」そんな方は、ぜひお気軽に「OFFICE110」へご相談を。
専門知識豊富なスタッフが、セキュリティ診断から商品のご提供、導入、アフターサービスまで、トータルで徹底サポートいたします。

関連記事

セキュリティ お役立ち情報

お役立ち情報カテゴリ