WAFによるXSS（クロスサイトスクリプティング）攻撃対策の方法を解説

IT製品の比較サイト
ITトレンド編集部

XSS(クロスサイトスクリプティング)攻撃による不正プログラムの感染、フィッシング詐欺、情報詐取といった被害は年々増加しています。

2014年にもTwitterの公式クライアントアプリであるTweetDeckのXSSの脆弱性を使った攻撃によって、ある特定の投稿がタイムラインに表示されるだけで自動的にリツイートがされてしまうというケースが世界中で起こりました。

このような被害を防ぐにはどうしたらいいのでしょうか。この記事ではクロスサイトスクリプティングの概要とWAFでの対策について解説していきます。

＼無料で資料を手に入れる！／

WAF（Web Application Firewall）の
製品をまとめて資料請求！

play_circle_outline

WAF（Web Application Firewall）人気ランキング | 今週のランキング第1位は？

XSS(クロスサイトスクリプティング)とは

XSS（クロスサイトスクリプティング)攻撃とは、閲覧者がページを制作できるWebサイト（掲示板など）に対して、不正なスクリプトを挿入することによって起こすサイバー攻撃です。

脆弱性のあるWebサイト上に、攻撃者自身が作成した不正なWebサイトに誘導するスクリプトを挿入し、ユーザーがそのスクリプトを踏んだ際、誘導先からユーザーのWebアプリケーションにマルウェアを送り込むという攻撃で、２つのサイトを横切る（クロスする）ことから、クロスサイトスクリプティングと呼ばれています。

XSS（クロスサイトスクリプティング）の種類

具体的な攻撃手法としては反射型、持続・蓄積型、DOM Basedの3種類に分けられます。

反射型XSS

３つの中では一番オーソドックスな攻撃手法といえます。攻撃者が用意したサイトやメールを介してスクリプトを実行させます。そのため基本的には攻撃者の誘導に乗らず特定のURLを踏まない限りは被害を受ける心配はありません。

持続・蓄積型XSS

攻撃者がターゲットとするサイトにスクリプトを埋め込むタイプの攻撃手法です。反射型と違いユーザーがそのサイトに訪問しただけでスクリプトが実行される上、発見もしくは攻撃者がスクリプトを外さない限り効果が持続するため反射型よりも被害が拡大しやすいといった特徴があります。

DOM Based XSS

反射型や持続・蓄積型がサーバ側のプログラムに作りこまれるタイプの脆弱性なのに対しDOM Basedはブラウザのプラグインやアプリなどクライアント側のプログラムに作りこまれる場合もあるといった違いがあります。サーバサイドを経由する必要がないため攻撃者は、ユーザのもとへ悪意のあるスクリプトを直接送信します。

2012年後半辺りからこのDOM Based XSSの脆弱性に関する届出が急増していて、冒頭で紹介したTweetDeckへの攻撃はこのDOM Basedの脆弱性を狙った攻撃でした。

他にもHTTPのTRACEメソッドを悪用し、ユーザーの認証IDやパスワードを窃盗できる脆弱性であるXST(クロスサイトトレーシング)をXSSと組み合わせ、暗号化されていないBasic認証のIDやパスワードを窃盗するといった攻撃もあります。

出典： IPAテクニカルウォッチ『DOM Based XSS』に関するレポート｜情報処理推進機構

国内外におけるXSS攻撃の被害事例

これまでXSS攻撃の概要や種類について確認してきました。ここでは、国内外で起きた被害事例をとりあげます。

TwitterのXSS脆弱性をついた攻撃

TweetDeckの他に2010年にはTwitterのWebページもXSSの脆弱性を使ったコードが急速に拡散し、意図しないツイートをしてしまうといったケースもありました。この時には世界中で約50万人に影響が出たとされています。

出典： Twitterの“XSS騒動”はどのように広まったか｜ITmedia エンタープライズ

「予告.in」への不正コード埋め込み

また日本では2008年に犯行予告共有サイト「予告.in」に不正なコードが埋め込まれ、アクセスしただけで別の匿名掲示板に「警視庁を爆破する嘘です」という犯行予告文の投稿が自動的にされてしまうという事件も起きています。

出典：予告.in、XSS攻撃を受け不正コードを埋め込まれる｜スラド

WAFは有効？クロスサイトスクリプティングを防ぐ方法

ここまで、クロスサイトスクリプティングの概要や具体的な被害について確認してきました。しかし、クロスサイトスクリプティングはWAFを利用することで防ぐことが可能です。ここではWAFを利用してクロスサイトスクリプティングを防ぐ方法を紹介します。

入力チェックを入念に行う

WAFを導入するにしても、まずはクロスサイトスクリプティングの防御対策として入力チェックを行うことが重要です。例えば、郵便番号を入力する際に数字しか入力できないようにしておけば、コードを埋め込む隙を与えません。このようにしっかりと入力チェックを行い、悪意あるコードを埋め込めないようにすることが重要です。

WAFもXSS対策に有効

WAFはWeb Application Firewallという名前の通り、Webアプリケーションを外部から守るセキュリティ製品です。そのため、クロスサイトスクリプティングのようなWebサイトを狙った攻撃に対しても対応可能です。

以前は初期費用やサポート費の高さ、設定の難しさなどから大規模サイトなどにしか使われることはありませんでした。しかし現在は技術の進化やクラウド型の登場により中小規模のサイトであっても導入を検討する企業が増えています。

以下の記事ではWAFについて詳しく紹介し、製品例まで紹介していますので、参考にしてみてください。

2023.08.18

【2023年版】WAF製品の比較10選！失敗しない選び方も解説

続きを読む ≫

WAFをフル活用して、XSSを完全防御しよう！

クロスサイトスクリプティングについて紹介し、WAFで防げるのかについても解説してきました。自社がクロスサイトスクリプティングの被害を受けてしまった場合、企業の信用問題にも発展し、損失は計り知れません。XSS攻撃の防御をお考えであれば、以下のボタンからWAFの資料請求を行い、今すぐ導入検討することをおすすめします。

＼無料で資料を手に入れる！／

WAF（Web Application Firewall）の
製品をまとめて資料請求！

play_circle_outline

WAF（Web Application Firewall）人気ランキング | 今週のランキング第1位は？

WAF 選び方ガイド

製品を選ぶときのポイントがわかる！

どんな企業が導入すべきかがわかる！

選び方ガイドのダウンロードはこちら

ITトレンドはイノベーションが2007年より運営している法人向けIT製品の比較・資料請求サイトです。累計訪問者数2,000万人以上、1,300製品以上を掲載しています。ITトレンド編集部では、読者がIT製品・サービスを比較検討する際に役立つ情報や、システムを活用した社内の課題解決のヒントになる情報を記事にして日々発信しています。

このカテゴリーに関連する記事

WAFとは？仕組みやセキュリティの基本をわかりやすく解説

Web改ざん防止にWAFは有用？FWやIPSとの違いも解説！

WAFが必要ないって本当？WAFの必要性と導入効果について解説！

WAFとファイアウォールの違いは？セキュリティ手法の差について解説！

WAFにおけるシグネチャとは？初心者にわかりやすく解説！

WAFのホワイトリスト方式とブラックリスト方式では何が違うの？

WAFで防げない攻撃は？防げる攻撃と利用ポイントも解説

WAFとSSLの関係性とは？証明書のメリットや必要性についても解説！

【2023年版】WAF製品の比較10選！失敗しない選び方も解説

無料OSSのWAF製品比較４選！メリットや注意点を分かりやすく解説

IT製品・サービスの比較・資料請求が無料でできる、ITトレンド。「WAFによるXSS（クロスサイトスクリプティング）攻撃対策の方法を解説」というテーマについて解説しています。WAFの製品導入を検討をしている企業様は、ぜひ参考にしてください。

カテゴリー資料請求ランキング

11月27日(月) 更新
	登録サイト無制限！サイバー保険付帯のオールインワンWAF！BLUE Sphere 株式会社アイロバ
	特許取得の攻撃検出力！WAFを超えた５in 1クラウド型WAFCloudbric WAF＋ペンタセキュリティ株式会社
	NTTグループのクラウド型WAFSmartConnect Network & Security NTTスマートコネクト株式会社
4位以下のランキングはこちら