WAFによるXSS（クロスサイトスクリプティング）攻撃の対策とは

2020年03月18日最終更新
WAF（Web Application Firewall）の製品一覧

XSS(クロスサイトスクリプティング)攻撃による不正プログラムの感染、フィッシング詐欺、情報詐取といった被害は年々増加しています。

2014年にもTwitterの公式クライアントアプリであるTweetDeckのXSSの脆弱性を使った攻撃によって、ある特定の投稿がタイムラインに表示されるだけで自動的にリツイートがされてしまうというケースが世界中で起こりました。

このような被害を防ぐにはどうしたらいいのでしょうか。この記事ではクロスサイトスクリプティングの概要とWAFでの対策について解説していきます。

WAF（Web Application Firewall）の製品を調べて比較

製品をまとめて資料請求！資料請求フォームはこちら

WAF（Web Application Firewall）の資料請求ランキングで製品を比較！今週のランキング第1位は？

XSS(クロスサイトスクリプティング)とは

XSS（クロスサイトスクリプティング)攻撃とは、閲覧者がページを制作できるWebサイト（掲示板など）に対して、不正なスクリプトを挿入することによって起こすサイバー攻撃です。

脆弱性のあるWebサイト上に、攻撃者自身が作成した不正なWebサイトに誘導するスクリプトを挿入し、ユーザーがそのスクリプトを踏んだ際、誘導先からユーザーのWebアプリケーションにマルウェアを送り込むという攻撃で、２つのサイトを横切る（クロスする）ことから、クロスサイトスクリプティングと呼ばれています。

XSS（クロスサイトスクリプティング）の種類

具体的な攻撃手法としては反射型、持続・蓄積型、DOM Basedの3種類に分けられます。

反射型XSS

３つの中では一番オーソドックスな攻撃手法といえます。攻撃者が用意したサイトやメールを介してスクリプトを実行させます。そのため基本的には攻撃者の誘導に乗らず特定のURLを踏まない限りは被害を受ける心配はありません。

持続・蓄積型XSS

攻撃者がターゲットとするサイトにスクリプトを埋め込むタイプの攻撃手法です。反射型と違いユーザーがそのサイトに訪問しただけでスクリプトが実行される上、発見もしくは攻撃者がスクリプトを外さない限り効果が持続するため反射型よりも被害が拡大しやすいといった特徴があります。

DOM Based XSS

反射型や持続・蓄積型がサーバ側のプログラムに作りこまれるタイプの脆弱性なのに対しDOM Basedはブラウザのプラグインやアプリなどクライアント側のプログラムに作りこまれる場合もあるといった違いがあります。サーバサイドを経由する必要がないため攻撃者は、ユーザのもとへ悪意のあるスクリプトを直接送信します。

2012年後半辺りからこのDOM Based XSSの脆弱性に関する届出が急増していて、冒頭で紹介したTweetDeckへの攻撃はこのDOM Basedの脆弱性を狙った攻撃でした。

他にもHTTPのTRACEメソッドを悪用し、ユーザーの認証IDやパスワードを窃盗できる脆弱性であるXST(クロスサイトトレーシング)をXSSと組み合わせ、暗号化されていないBasic認証のIDやパスワードを窃盗するといった攻撃もあります。

出典： IPAテクニカルウォッチ『DOM Based XSS』に関するレポート｜情報処理推進機構

国内外におけるXSS攻撃の被害事例

これまでXSS攻撃の概要や種類について確認してきました。ここでは、国内外で起きた被害事例をとりあげます。

TwitterのXSS脆弱性をついた攻撃

TweetDeckの他に2010年にはTwitterのWebページもXSSの脆弱性を使ったコードが急速に拡散し、意図しないツイートをしてしまうといったケースもありました。この時には世界中で約50万人に影響が出たとされています。

出典： Twitterの“XSS騒動”はどのように広まったか｜ITmedia エンタープライズ

「予告.in」への不正コード埋め込み

また日本では2008年に犯行予告共有サイト「予告.in」に不正なコードが埋め込まれ、アクセスしただけで別の匿名掲示板に「警視庁を爆破する嘘です」という犯行予告文の投稿が自動的にされてしまうという事件も起きています。

出典：予告.in、XSS攻撃を受け不正コードを埋め込まれる｜スラド

WAFは有効？クロスサイトスクリプティングを防ぐ方法

ここまで、クロスサイトスクリプティングの概要や具体的な被害について確認してきました。しかし、クロスサイトスクリプティングはWAFを利用することで防ぐことが可能です。ここではWAFを利用してクロスサイトスクリプティングを防ぐ方法を紹介します。

入力チェックを入念に行う

WAFを導入するにしても、まずはクロスサイトスクリプティングの防御対策として入力チェックを行うことが重要です。例えば、郵便番号を入力する際に数字しか入力できないようにしておけば、コードを埋め込む隙を与えません。このようにしっかりと入力チェックを行い、悪意あるコードを埋め込めないようにすることが重要です。

WAFもXSS対策に有効

WAFはWeb Application Firewallという名前の通り、Webアプリケーションを外部から守るセキュリティ製品です。そのため、クロスサイトスクリプティングのようなWebサイトを狙った攻撃に対しても対応可能です。

以前は初期費用やサポート費の高さ、設定の難しさなどから大規模サイトなどにしか使われることはありませんでした。しかし現在は技術の進化やクラウド型の登場により中小規模のサイトであっても導入を検討する企業が増えています。

以下の記事ではWAFについて詳しく紹介し、製品例まで紹介していますので、参考にしてみてください。

2021.03.12

最新版WAF製品の比較17選【価格＆特徴比較表あり】選び方も解説

続きを読む ≫

WAFをフル活用して、XSSを完全防御しよう！

クロスサイトスクリプティングについて紹介し、WAFで防げるのかについても解説してきました。自社がクロスサイトスクリプティングの被害を受けてしまった場合、企業の信用問題にも発展し、損失は計り知れません。XSS攻撃の防御をお考えであれば、以下のボタンからWAFの資料請求を行い、今すぐ導入検討することをおすすめします。

WAF（Web Application Firewall）製品を調べて比較

製品をまとめて資料請求！資料請求フォームはこちら

WAF（Web Application Firewall）の資料請求ランキングで製品を比較！今週のランキング第1位は？

このカテゴリーに関連する記事

「WAFとは？」初心者にもわかりやすく一から徹底解説！

WAFにおける「シグネチャ」とは？初心者にわかりやすく解説！

WAFのホワイトリスト方式とブラックリスト方式では何が違うの？

WAFとSSLの関係性とは？証明書の必要性についても解説！

WAFとファイアウォールの違いは？攻撃との関連も解説！

無料OSSのWAF製品比較４選！メリットや注意点を分かりやすく解説

WAFで防げない攻撃は？防げる攻撃と利用のポイントも解説！

WAFの機能一覧！WAFでできることや防げる攻撃も解説

最新版WAF製品の比較17選【価格＆特徴比較表あり】選び方も解説

IT製品・サービスの比較・資料請求が無料でできる、ITトレンド。「WAFによるXSS（クロスサイトスクリプティング）攻撃の対策とは」というテーマについて解説しています。WAFの製品導入を検討をしている企業様は、ぜひ参考にしてください。

4月12日(月) 更新
	導入15,000件、Webサイトを守るクラウド型WAFクラウドブリック(Cloudbric) ペンタセキュリティシステムズ株式会社
	導入社数・導入サイト数国内No.1のクラウド型WAF【攻撃遮断くん】株式会社サイバーセキュリティクラウド
	一人情シスの味方！クラウド型WAF「Scutum」【Scutum（スキュータム）】株式会社セキュアスカイ・テクノロジー
一覧を見る