XSSの攻撃手法とWAFによる防御対策

XSSの特徴とその攻撃手法

XSSとはユーザーがアクセスした際に表示内容が生成される動的Webページの脆弱性を指します。この脆弱性を利用した攻撃がXSS攻撃で、攻撃者は動的ページでHTMLやJavascriptを生成している部分に悪意のあるコードを埋め込みます。具体的な攻撃手法としては反射型、持続・蓄積型、DOM Basedの3種類に分けられます。

■反射型XSS

3つの中では一番オーソドックスな攻撃手法といえます。攻撃者が用意したサイトやメールを介してスクリプトを実行させます。そのため基本的には攻撃者の誘導に乗らず特定のURLを踏まない限りは被害を受ける心配はありません。

■持続・蓄積型XSS

攻撃者がターゲットとするサイトにスクリプトを埋め込むタイプの攻撃手法です。反射型と違いユーザーがそのサイトに訪問しただけでスクリプトが実行される上、発見もしくは攻撃者がスクリプトを外さない限り効果が持続するため反射型よりも被害が拡大しやすいといった特徴があります。

■DOM Based XSS

反射型や持続・蓄積型がサーバ側のプログラムに作りこまれるタイプの脆弱性なのに対しDOM Basedはブラウザのプラグインやアプリなどクライアント側のプログラムに作りこまれる場合もあるといった違いがあります。サーバサイドを経由する必要がないため攻撃者は、ユーザのもとへ悪意のあるスクリプトを直接送信します。2012年後半辺りからこのDOM Based XSSの脆弱性に関する届出が急増していて、冒頭で紹介したTweetDeckへの攻撃はこのDOM Basedの脆弱性を狙った攻撃でした。

出典：情報処理推進機構「IPAテクニカルウォッチ『DOM Based XSS』に関するレポート」
　　　https://www.ipa.go.jp/files/000024724.pdf

他にもHTTPのTRACEメソッドを悪用し、ユーザーの認証IDやパスワードを窃盗できる脆弱性であるXST(クロスサイトトレーシング)をXSSと組み合わせ、暗号化されていないBasic認証のIDやパスワードを窃盗するといった攻撃もあります。

XSS攻撃の被害事例

TweetDeckの他に2010年にはTwitterのWebページもXSSの脆弱性を使ったコードが急速に拡散し、意図しないツイートをしてしまうといったケースもありました。この時には世界中で約50万人に影響が出たとされています。また日本では2008年に犯行予告共有サイト「予告.in」に不正なコードが埋め込まれ、アクセスしただけで別の匿名掲示板に「警視庁を爆破する 嘘です」という犯行予告文の投稿が自動的にされてしまうという事件も起きています。

出典：ITmedia エンタープライズ「Twitterの“XSS騒動”はどのように広まったか」
　　　http://www.itmedia.co.jp/enterprise/articles/1009/24/news023.html
　　　スラド「予告.in、XSS攻撃を受け不正コードを埋め込まれる」
　　　https://security.srad.jp/story/08/08/04/0418231/

XSS攻撃の防御対策

XSS攻撃の防御対策としてまず行うことは入念に入力チェックを行うことです。ほとんどの場合、ブラウザに出力する処理の部分でプログラムミスがある場合に問題が起こります。これを防ぐには、しっかりと入力チェックを行い悪意あるコードを埋め込めないようにすることが重要です。

そしてその上でより確実な防御対策がWAF(Webアプリケーションファイアウォール)の導入です。以前は初期費用やサポート費の高さ、設定の難しさなどから大規模サイトなどにしか使われることはありませんでした。しかし現在は技術の進化やクラウド型の登場により中小規模のサイトであっても導入を検討する企業が増えています。

ユーザー情報の窃盗や悪意ある別サイトへの自動遷移など企業サイトの信用失墜の損失は計り知れません。XSS攻撃の防御をお考えであれば、入力チェックの徹底とともにWAFの導入も是非、ご検討ください。