WAFによるXSS（クロスサイトスクリプティング）攻撃の対策とは

XSS(クロスサイトスクリプティング)攻撃とは

XSS（クロスサイトスクリプティング)攻撃とはユーザーがアクセスした際に表示内容が生成される動的Webページの脆弱性を指します。この脆弱性を利用した攻撃がXSS攻撃で、攻撃者は動的ページでHTMLやJavascriptを生成している部分に悪意のあるコードを埋め込みます。具体的な攻撃手法としては反射型、持続・蓄積型、DOM Basedの3種類に分けられます。

反射型XSS

3つの中では一番オーソドックスな攻撃手法といえます。攻撃者が用意したサイトやメールを介してスクリプトを実行させます。そのため基本的には攻撃者の誘導に乗らず特定のURLを踏まない限りは被害を受ける心配はありません。

持続・蓄積型XSS

攻撃者がターゲットとするサイトにスクリプトを埋め込むタイプの攻撃手法です。反射型と違いユーザーがそのサイトに訪問しただけでスクリプトが実行される上、発見もしくは攻撃者がスクリプトを外さない限り効果が持続するため反射型よりも被害が拡大しやすいといった特徴があります。

DOM Based XSS

反射型や持続・蓄積型がサーバ側のプログラムに作りこまれるタイプの脆弱性なのに対しDOM Basedはブラウザのプラグインやアプリなどクライアント側のプログラムに作りこまれる場合もあるといった違いがあります。サーバサイドを経由する必要がないため攻撃者は、ユーザのもとへ悪意のあるスクリプトを直接送信します。

2012年後半辺りからこのDOM Based XSSの脆弱性に関する届出が急増していて、冒頭で紹介したTweetDeckへの攻撃はこのDOM Basedの脆弱性を狙った攻撃でした。

出典： IPAテクニカルウォッチ『DOM Based XSS』に関するレポート｜情報処理推進機構

他にもHTTPのTRACEメソッドを悪用し、ユーザーの認証IDやパスワードを窃盗できる脆弱性であるXST(クロスサイトトレーシング)をXSSと組み合わせ、暗号化されていないBasic認証のIDやパスワードを窃盗するといった攻撃もあります。

国内外におけるXSS攻撃の被害事例とは

これまでXSS攻撃の概要や種類について確認してきました。それでは被害はどのようなものでしょうか？ここでは、国内外で起きた被害事例をとりあげます。

TwitterのXSS脆弱性をついた攻撃

TweetDeckの他に2010年にはTwitterのWebページもXSSの脆弱性を使ったコードが急速に拡散し、意図しないツイートをしてしまうといったケースもありました。この時には世界中で約50万人に影響が出たとされています。

出典： Twitterの“XSS騒動”はどのように広まったか｜ITmedia エンタープライズ

「予告.in」への不正コード埋め込み

また日本では2008年に犯行予告共有サイト「予告.in」に不正なコードが埋め込まれ、アクセスしただけで別の匿名掲示板に「警視庁を爆破する 嘘です」という犯行予告文の投稿が自動的にされてしまうという事件も起きています。

出典： 予告.in、XSS攻撃を受け不正コードを埋め込まれる｜スラド

XSS攻撃の防御対策

ここまでXSS攻撃の概要や具体的な被害について確認してきました。つぎに、どのようにXSS攻撃を防げるのか、その手法について解説していきます。

入力チェックによるXSS攻撃対策

XSS攻撃の防御対策としてまず行うことは入念に入力チェックを行うことです。ほとんどの場合、ブラウザに出力する処理の部分でプログラムミスがある場合に問題が起こります。これを防ぐには、しっかりと入力チェックを行い悪意あるコードを埋め込めないようにすることが重要です。

WAFを利用したXSS攻撃対策

次に防御対策がWAF(Webアプリケーションファイアウォール)の導入による対策について解説します。以前は初期費用やサポート費の高さ、設定の難しさなどから大規模サイトなどにしか使われることはありませんでした。しかし現在は技術の進化やクラウド型の登場により中小規模のサイトであっても導入を検討する企業が増えています。

またWAFについて詳しく知りたい方は以下の記事を参考にしてください。WAFの種類や守備範囲について解説しています。

▼WAFについて詳しく知ろう！
参考記事：今更聞けない、WAFの基礎知識

XSS攻撃はWAFで防ごう！

ユーザー情報の窃盗や悪意ある別サイトへの自動遷移など企業サイトの信用失墜の損失は計り知れません。XSS攻撃の防御をお考えであれば、入力チェックの徹底とともにWAFの導入も是非、ご検討ください。