クロスサイトスクリプティング（XSS）とは？脆弱性対策について詳しく解説！

クロスサイトスクリプティング（XSS）は、Webアプリケーションにおける重要なセキュリティ脆弱性の一つであり、悪意あるスクリプトがWebサイトに注入されることで発生します。

この攻撃方法により、不正なスクリプトが実行され、ユーザーが偽のページを表示されたり、情報が盗まれたりするリスクがあります。クロスサイトスクリプティング（XSS）攻撃は多岐にわたる形式を取るため、Webアプリケーション開発者はさまざまな防御策を講じる必要があるでしょう。

本記事では、クロスサイトスクリプティングの概念、受けることができる潜在的な被害、そしてそれに対する効果的な対策方法について詳しく解説します。

システムにセキュリティ上の欠陥がないかを診断できるサービスについて詳しくはこちら
脆弱性診断ツールおすすめ30選を徹底比較！無料・有料に分けて紹介

クロスサイトスクリプティング（XSS）とは？

クロスサイトスクリプティング（XSS）は、Webアプリケーションのセキュリティ脆弱性を悪用した代表的な攻撃手法の一つです。攻撃者が悪意のあるスクリプトをWebページに注入し、それを閲覧したユーザーのブラウザ上で実行させることで、さまざまな被害を及ぼします。

攻撃者は、掲示板の投稿やフォームの入力など、ユーザーが任意の内容を送信できる箇所に悪意のあるスクリプトコードを紛れ込ませます。スクリプトが実行されると、攻撃者は閲覧者のブラウザを通じてさまざまな悪意ある行為を行えるようになるのが特徴。なりすましや不正アクセス、機密情報の漏洩などの被害が発生するでしょう。

情報処理推進機構（IPA）によると、クロスサイトスクリプティングは脆弱性の届出数で常に上位にランクインしており、2021年第2四半期には92件の報告がされています。

クロスサイトリクエストフォージェリ（CSRF）との違い

クロスサイトリクエストフォージェリ（CSRF）攻撃は、Webアプリケーションの脆弱性を悪用する点でクロスサイトスクリプティング（XSS）攻撃と共通していますが、その動作原理は大きく異なります。

CSRFは、攻撃者が正規のユーザーになりすまして、不正なリクエストをサーバーに送信する攻撃手法です。攻撃者は、ユーザーがログイン中の信頼できるWebサイトを悪用し、ユーザーの意図しない操作を実行させます。

たとえば、ユーザーがSNSにログインしている状態で、攻撃者の用意した罠のページを閲覧してしまったとします。すると、ユーザーの知らないうちに、攻撃者の用意した投稿内容がSNSに送信され、ユーザーのアカウントから無断で投稿されてしまうかもしれません。

また、CSRFはECサイトでの不正購入にも悪用される可能性があります。ユーザーがショッピングサイトにログインしている状態で、攻撃者の罠のページを開いてしまうと、ユーザーの意図しない高額な商品の購入リクエストがサーバーに送信されるかもしれません。ユーザーが気づかないうちに、不要な商品が購入されてしまうのです。

SQLインジェクションとの違い

SQLインジェクション攻撃は、Webアプリケーションのデータベースを標的とした攻撃手法です。この攻撃は、悪意のあるSQLクエリをデータベースに注入することで、不正な処理を実行させることを目的としています。攻撃者は、不正なSQLクエリを使って、重要なデータを削除したり、内容を書き換えたりできます。アプリケーションの機能が損なわれ、ユーザーに大きな混乱や被害をもたらす可能性があるでしょう。

また、SQLインジェクション攻撃は、機密情報の漏洩にも悪用されます。たとえば、ユーザーの個人情報や、クレジットカード情報などの極めて重要な情報が盗み出される危険性があるのです。こうした情報漏洩は、ユーザーのプライバシーを侵害し、深刻な被害につながるおそれがあります。

XSSの種類

XSSには主に3種類の手法があります。以下のように分けられます。

1. 反射型XSS：攻撃者が用意したリンクをクリックすると、スクリプトが一時的に実行される手法です。
2. 持続型XSS：スクリプトがサーバーに保存され、複数のユーザーに影響を与えるタイプです。
3. DOMベースXSS：クライアントサイドで直接スクリプトが実行され、DOM操作による脆弱性が発生します。

これらの違いを理解し、適切な対策を講じることが、リスク軽減につながります。

クロスサイトスクリプティング（XSS）の攻撃流れ

クロスサイトスクリプティング（XSS）攻撃は、「攻撃者による悪意のあるスクリプトの埋め込み」「何も知らないユーザーによる罠へのアクセス」「悪意のあるスクリプトによる攻撃の実行」の三段階のプロセスに分かれます。

ステップごとに詳しく見ていきましょう。

• 攻撃者による悪意のあるスクリプトの埋め込み
• 何も知らないユーザーによる罠へのアクセス
• 悪意のあるスクリプトによる攻撃の実行

攻撃者による悪意のあるスクリプトの埋め込み

攻撃者は、脆弱性のあるWebアプリケーションを狙い、コメント欄や入力フォームなどを通じて、悪意のあるスクリプトを巧妙に仕込みます。これにより、一見無害に見えるWebサイトが、攻撃者の罠に変えられてしまいます。

何も知らないユーザーによる罠へのアクセス

次に、そのWebサイトを訪れた何も知らないユーザーが、攻撃者が仕掛けた罠（悪意のあるリンク）をうっかりクリックしてしまうと、埋め込まれていた悪意のあるスクリプトが自動的に実行されます。見慣れないポップアップ画面や、怪しい入力フォームが現れた場合は、危険信号かもしれません。

悪意のあるスクリプトによる攻撃の実行

悪意のあるスクリプトが実行されると、攻撃者はその力を利用して、罠にかかったユーザーから個人情報を盗み出したり、マルウェアに感染させたりと、さまざまな悪事を働きます。

クロスサイトスクリプティング（XSS）で起こる被害

次に、具体的に予想される被害について詳細に解説します。

• 正規のサイト上に偽の情報が表示される
• Cookieに含まれる情報の漏えい
• 任意のCookieの保存

正規のサイト上に偽の情報が表示される

クロスサイトスクリプティング（XSS）攻撃により、正規のWebサイト上に不正なページが表示される可能性があります。攻撃者は、悪意あるスクリプトを埋め込んだコードを注入することで、Webサイトの見た目や動作を改変することが可能です。さらに、不正なページを通じて、ユーザーが攻撃者の用意したフィッシングサイトへ誘導されるケースもあります。

Cookieに含まれる情報の漏えい

クロスサイトスクリプティング（XSS）攻撃は、ブラウザに保存されたCookieを不正に取得する手段としても悪用されます。Cookieは、ユーザーのログイン情報やセッションID、その他の重要な情報を格納するために使用されることが多いため、攻撃者にとって非常に魅力的な標的となります。

Cookieに個人情報が格納されている場合、その情報が漏えいするリスクも懸念されます。氏名や住所、電話番号、クレジットカード情報などの機密データがCookieに含まれていると、攻撃者はそれらの情報を簡単に入手できてしまいます。盗まれた個人情報は、なりすまし犯罪やフィッシング詐欺、スパムメールの送信などに悪用される恐れがあるでしょう。

任意のCookieの保存

攻撃者はユーザーのブラウザに任意のCookieを強制的に保存させることができ、これが「セッションIDの固定化」攻撃に利用されることがあります。この攻撃手法では、事前に攻撃者が指定したセッションIDをユーザーのブラウザに保存させ、そのIDを使用してセッションハイジャックを行うことが可能になります。

これらの問題を防ぐためには、Webサイトの開発者は入力されたデータのサニタイズや有効なコンテンツセキュリティポリシー（CSP）の実装に努める必要があります。

ユーザーとしては、不審なリンクやメールには慎重に対応し、定期的にパスワードを変更する、ブラウザやセキュリティソフトウェアを最新の状態に保つといったセキュリティ対策を講じることが重要です。Webサイトやアプリケーションの安全を確保するためには、開発者と利用者双方の意識と取り組みが必要不可欠です。

クロスサイトスクリプティング（XSS）に有効な対策とは

クロスサイトスクリプティング（XSS）攻撃は、Webアプリケーションがユーザーからの入力をそのままWebページに出力する際、特殊文字がエスケープされずに扱われることで発生します。このような攻撃を防ぐためには、Webサイトを構築する際、特殊文字を適切にエスケープ処理（無効化）することが不可欠です。

また、HTMLタグの属性値をダブルクォーテーションで適切に囲むなど、セキュリティを強化するための実装方法に対する注意も必要です。これらはクロスサイトスクリプティング（XSS）攻撃に対する基本的な予防策として、脆弱性の発生を抑制する役割を果たします。

しかしクロスサイトスクリプティング（XSS）攻撃を完全に防ぐには、エスケープ処理やコーディング規約の遵守だけでは不十分です。攻撃を受ける可能性のある箇所が多岐にわたるため、見落としが発生しやすいという課題があります。したがって、保険的な対策として入力値の検証・脆弱性診断ツールの使用・セキュリティポリシーの策定と実施など、総合的なセキュリティ対策を講じることが推奨されます。

脆弱性診断サービスの活用

セキュリティの専門知識が不足している組織にとって、自社のWebアプリケーションに潜むすべてのセキュリティリスクに対応することは非常に困難な課題です。特に、クロスサイトスクリプティング（XSS）攻撃のような複雑な脆弱性を見落としてしまう可能性があります。この問題を解決するには、セキュリティ専門の診断ベンダーに脆弱性診断を委託することが効果的な方法の一つです。

脆弱性診断サービスを活用することで、自社のリソースや知識不足を補えます。診断ベンダーは高度なスキルと最新のツールを駆使して、Webアプリケーションを徹底的に検査し、クロスサイトスクリプティング（XSS）を含む潜在的なセキュリティリスクを特定します。単にリスクを指摘するだけでなく、それぞれの脆弱性に対する具体的な改善策や対処方法も提示してくれるので、効率的にセキュリティ対策を進められます。

脆弱性診断ツールの導入

脆弱性診断ツールの導入は、外部委託と比較してコスト面でもメリットがあります。診断ベンダーへの依頼を繰り返すことなく、社内でツールを運用できるため、長期的なコスト削減が期待できます。また、診断の頻度を自由に設定できるので、Webアプリケーションの更新サイクルに合わせて頻繁に脆弱性チェックを行うことも可能です。

ただし、脆弱性診断ツールを効果的に活用するには、ある程度のセキュリティ知識が必要となります。ツールの設定や結果の解釈には専門性が求められるからです。そこで、ユーザーフレンドリーなツールを選ぶことが重要です。わかりやすいインターフェースと詳細なレポート機能を備えたツールであれば、セキュリティの知識が浅い担当者でも、スムーズに脆弱性診断を進められるでしょう。

脆弱性対策として必要な4つの「根本的な対策」

脆弱性対策として必要な4つの根本的な対策を紹介します。

1. 特別な希望にエスケープ処理を施す
2. 属性値をダブルクォーテーションで囲む
3. 「http」「https」スキームだけを許可する
4. 適切なDOM操作を実装する

1.特別な記号にエスケープ処理を施す

特別な記号に対してエスケープ処理を適用することが重要です。

このプロセスには、WebページのテキストやHTMLタグの属性値など、表示に影響を与える特別な記号（たとえば、「<」「>」「&」など）を、それぞれ「&lt;」「&gt;」「&amp;」のようなHTMLエンティティに変換する作業が含まれます。

外部から提供されたデータや、データベースから読み込まれるデータ、または計算により生成されたデータに対してエスケープ処理を一貫して適用することは、セキュリティの維持において重要です。この処理は、HTTPレスポンスだけでなく、JavaScriptのdocument.writeメソッドやinnerHTMLプロパティを使用して動的に内容を更新する際にも同様に必要とされます。

2.属性値をダブルクォーテーションで囲む

HTMLタグの属性値は、セキュリティを確保するために、常にダブルクォートで囲むべきです。これにより、属性値の後に新しい属性が不正に追加されることを防ぎます。

また、属性値内でダブルクォートを使用する場合は、「”」へのエスケープが必要です。手順を踏むことで、属性値の改ざんや不正なJavaScriptの実行を未然に防ぐことができます。

3.「http」「https」スキームだけを許可する

Webアプリケーションでa要素のhref属性やimg要素のsrc属性など、URLを含む属性が外部の入力に基づいて動的に生成される場合、特に注意が必要です。URLが”javascript:”で始まる場合、悪意あるスクリプトが実行される危険があります。

そのため、安全を確保するためには、”http”や”https”スキームのURLのみを許可する対策が推奨されます。

4.適切なDOM操作を実装する

DOMベースのクロスサイトスクリプティング（XSS）攻撃は、WebページのDOM（Document Object Model）の不適切な操作から生じることがあります。DOMを介してHTMLやXMLを動的に操作するJavaScriptのコードに不備がある場合、攻撃者によって指定されたコードが有効になり、クロスサイトスクリプティング（XSS）攻撃が可能になります。

DOMベースのクロスサイトスクリプティング（XSS）攻撃に対抗するには、ユーザーからの入力に基づくHTMLの生成を行う際に「document.write()」や「innerHTML」の使用を避け、「textContent」の使用など、適切なDOM操作を実装することが効果的です。

必要に応じて対応したい3つの「保険的な対策」

クロスサイトスクリプティング（XSS）攻撃に対する予防策として、根本的な対策を施した上で、追加の保護層を提供する補助的な手段について説明します。これらの補助的な対策は、クロスサイトスクリプティング（XSS）攻撃に対する完全な防御策ではないものの、リスクを軽減させるのに役立つでしょう。

1.各種ヘッダーの指定

レスポンスヘッダーには、クロスサイトスクリプティング（XSS）攻撃からWebサイトを保護するのに有用なものがいくつかあります。たとえば、過去には「X-クロスサイトスクリプティング（XSS）-Protection」ヘッダーがブラウザのクロスサイトスクリプティング（XSS）フィルタ機能を有効化し、検出されたクロスサイトスクリプティング（XSS）攻撃を阻止するために用いられました。

しかし、このヘッダーは多くのブラウザではもはやサポートされておらず、より強力な「Content-Security-Policy（CSP）」ヘッダーの使用が推奨されています。CSPヘッダーは、特定のソースからのスクリプト実行を許可することで、不正なスクリプトの実行を防ぎます。

2.CookieへのHttpOnly属性の指定

「HttpOnly」属性を持つCookieは、HTMLのスクリプトからアクセスされないように設計されています。この属性が設定されている場合、クロスサイトスクリプティング（XSS）攻撃が発生しても、攻撃者がJavaScript経由でCookie情報を盗むことはできません。

ただし、「HttpOnly」属性はCookie情報の盗難を防ぐためのものであり、他の種類の攻撃から保護するものではないこと、そしてすべてのブラウザで一貫した対応がされているわけではないことに注意が必要です。

3.入力値の内容を確認する

さらに、特殊な記号を含む入力値のエスケープ処理はクロスサイトスクリプティング（XSS）攻撃に対する根本的な対策です。加えて入力値の検証を行うことで、英数字のみを許可するなどの制限を設けることが可能です。これは特定の条件下でのみ実行可能な保険的な対策であり、エスケープ処理と併用することが推奨されます。

クロスサイトスクリプティング（XSS）の事例

クロスサイトスクリプティング（XSS）の脅威は多くの企業にとって現実のものであり、その中には世界的に知られる有名サイトも例外ではありません。以下に、特に注目すべき3つの事例を詳述します。

Twitter

2010年9月には、ソーシャルメディア巨人のTwitterでクロスサイトスクリプティング（XSS）に基づくワームが急速に広がりました。このワームは、ユーザーがマウスカーソルを特定の投稿上に置くだけで、任意のテキストが自動的にユーザーのアカウントから投稿されるというもので、そのシンプルな構造により、多くの変種が生成され、プラットフォームは意味不明な投稿であふれかえりました。

YouTube

2010年7月には、世界最大級の動画共有プラットフォームであるYouTubeがクロスサイトスクリプティング（XSS）攻撃の標的となりました。この攻撃は、コメントシステムを介して行われ、偽のニュースがポップアップで表示されたり、ユーザーが意図しないWebサイトへリダイレクトされたりするなど、多大な混乱を引き起こしました。

UNIQLO

さらに、2020年9月には、国際的な衣料品メーカー兼小売業のユニクロが運営するAndroidアプリ「ユニクロアプリ」において、クロスサイトスクリプティング（XSS）の脆弱性が指摘されました。この脆弱性は、脆弱性情報対策データベース（JVN iPedia）によって公表され、注意を呼びかけました。迅速な対応により直接的な被害は報告されていませんが、クロスサイトスクリプティング（XSS）がいかに現在も継続的な脅威であるかが浮き彫りにされました。

これらの事例からもわかるように、クロスサイトスクリプティング（XSS）攻撃は、ユーザーの信頼とWebセキュリティを脅かす深刻な問題です。それゆえに、企業は常に警戒を怠らず、Webアプリケーションの安全性を確保するための積極的な対策を講じる必要があります。

自社のセキュリティ状態の把握には脆弱性診断

クロスサイトスクリプティング（XSS）は、その対策を必要とする範囲の広さと攻撃パターンの多様性により、完全な保護を実現することが難しい脆弱性です。根本的な対策を施しても、新たな攻撃手法の出現や見落としがあると、防御が不十分になる恐れがあります。

このような不安を感じる場合、脆弱性診断サービスを利用するか、脆弱性スキャナーツールを導入することを検討することをお勧めします。上記の手段により、クロスサイトスクリプティング（XSS）攻撃を含む幅広いセキュリティ脆弱性を定期的に検出し、対応することが可能になります。

脆弱性診断は、自社のWebサイトやアプリケーションのセキュリティ状態を把握し、潜在的なリスクを事前に特定するための効果的な手段です。自社でのセキュリティ対策に加えて脆弱性診断を定期的に実施することで、セキュリティ対策の漏れを最小限に抑え、より高いセキュリティレベルを維持できるでしょう。