WAFによるXSS（クロスサイトスクリプティング）攻撃対策の方法を解説

XSS(クロスサイトスクリプティング)とは

XSS（クロスサイトスクリプティング)攻撃とは、閲覧者がページを制作できるWebサイト（掲示板など）に対して、不正なスクリプトを挿入することによって起こすサイバー攻撃です。

脆弱性のあるWebサイト上に、攻撃者自身が作成した不正なWebサイトに誘導するスクリプトを挿入し、ユーザーがそのスクリプトを踏んだ際、誘導先からユーザーのWebアプリケーションにマルウェアを送り込むという攻撃で、２つのサイトを横切る（クロスする）ことから、クロスサイトスクリプティングと呼ばれています。

XSS（クロスサイトスクリプティング）の種類

具体的な攻撃手法としては反射型、持続・蓄積型、DOM Basedの3種類に分けられます。

反射型XSS

３つの中では一番オーソドックスな攻撃手法といえます。攻撃者が用意したサイトやメールを介してスクリプトを実行させます。そのため基本的には攻撃者の誘導に乗らず特定のURLを踏まない限りは被害を受ける心配はありません。

持続・蓄積型XSS

攻撃者がターゲットとするサイトにスクリプトを埋め込むタイプの攻撃手法です。反射型と違いユーザーがそのサイトに訪問しただけでスクリプトが実行される上、発見もしくは攻撃者がスクリプトを外さない限り効果が持続するため反射型よりも被害が拡大しやすいといった特徴があります。

DOM Based XSS

反射型や持続・蓄積型がサーバ側のプログラムに作りこまれるタイプの脆弱性なのに対しDOM Basedはブラウザのプラグインやアプリなどクライアント側のプログラムに作りこまれる場合もあるといった違いがあります。サーバサイドを経由する必要がないため攻撃者は、ユーザのもとへ悪意のあるスクリプトを直接送信します。

2012年後半辺りからこのDOM Based XSSの脆弱性に関する届出が急増していて、冒頭で紹介したTweetDeckへの攻撃はこのDOM Basedの脆弱性を狙った攻撃でした。

他にもHTTPのTRACEメソッドを悪用し、ユーザーの認証IDやパスワードを窃盗できる脆弱性であるXST(クロスサイトトレーシング)をXSSと組み合わせ、暗号化されていないBasic認証のIDやパスワードを窃盗するといった攻撃もあります。

出典： IPAテクニカルウォッチ『DOM Based XSS』に関するレポート｜情報処理推進機構

国内外におけるXSS攻撃の被害事例

これまでXSS攻撃の概要や種類について確認してきました。ここでは、国内外で起きた被害事例をとりあげます。

TwitterのXSS脆弱性をついた攻撃

TweetDeckの他に2010年にはTwitterのWebページもXSSの脆弱性を使ったコードが急速に拡散し、意図しないツイートをしてしまうといったケースもありました。この時には世界中で約50万人に影響が出たとされています。

出典： Twitterの“XSS騒動”はどのように広まったか｜ITmedia エンタープライズ

「予告.in」への不正コード埋め込み

また日本では2008年に犯行予告共有サイト「予告.in」に不正なコードが埋め込まれ、アクセスしただけで別の匿名掲示板に「警視庁を爆破する 嘘です」という犯行予告文の投稿が自動的にされてしまうという事件も起きています。

出典： 予告.in、XSS攻撃を受け不正コードを埋め込まれる｜スラド

WAFは有効？クロスサイトスクリプティングを防ぐ方法

ここまで、クロスサイトスクリプティングの概要や具体的な被害について確認してきました。しかし、クロスサイトスクリプティングはWAFを利用することで防ぐことが可能です。ここではWAFを利用してクロスサイトスクリプティングを防ぐ方法を紹介します。

入力チェックを入念に行う

WAFを導入するにしても、まずはクロスサイトスクリプティングの防御対策として入力チェックを行うことが重要です。例えば、郵便番号を入力する際に数字しか入力できないようにしておけば、コードを埋め込む隙を与えません。このようにしっかりと入力チェックを行い、悪意あるコードを埋め込めないようにすることが重要です。

WAFもXSS対策に有効

WAFはWeb Application Firewallという名前の通り、Webアプリケーションを外部から守るセキュリティ製品です。そのため、クロスサイトスクリプティングのようなWebサイトを狙った攻撃に対しても対応可能です。

以前は初期費用やサポート費の高さ、設定の難しさなどから大規模サイトなどにしか使われることはありませんでした。しかし現在は技術の進化やクラウド型の登場により中小規模のサイトであっても導入を検討する企業が増えています。

以下の記事ではWAFについて詳しく紹介し、製品例まで紹介していますので、参考にしてみてください。

WAFをフル活用して、XSSを完全防御しよう！

クロスサイトスクリプティングについて紹介し、WAFで防げるのかについても解説してきました。自社がクロスサイトスクリプティングの被害を受けてしまった場合、企業の信用問題にも発展し、損失は計り知れません。XSS攻撃の防御をお考えであれば、以下のボタンからWAFの資料請求を行い、今すぐ導入検討することをおすすめします。