「クロスサイトスクリプティング（XSS）」という言葉を目にしたことがありますか。この言葉、個人情報が盗まれてしまうといったセキュリティの話題では必ずといっていいほど登場するので、一度や二度、目にしたことがあるでしょう。しかし、その実体はあまり知られていないことが多いようです。ここでは、クロスサイトスクリプティングの仕組みと脅威、ユーザー側の対処法について説明します。

ところで、一般にクロスサイトスクリプティングは「XSS」と略されます。これは、原語の「Cross Site Scripting」を略すとCSSとなり、カスケーディングスタイルシート（CSS）と混同する場合があるからです。本稿でも、略称については「XSS」の記述を踏襲します。

それでは、クロスサイトスクリプティングの仕組みについて見てみましょう。

まず初めに、悪意のある人間が作ったWebサイト（攻撃サイト）にユーザーがアクセスするところから始まります。そのWebサイトには、不正なスクリプトが記述されているリンクが用意されています。ユーザーがそのリンクをクリックすると、ユーザーはリンク先のWebサイト（攻撃対象あるいはターゲットサイト）に、不正なスクリプトを含んだ状態でアクセスします。ユーザーのブラウザにリンク先のWebサイトが表示されると、ユーザーのブラウザ上で不正なスクリプトが実行されます。そして、記述されている不正スクリプトの内容によって、さまざまな被害が発生することになります。

「クロスサイトスクリプティングに対する脆弱性」とは、上記のプロセスから分かるように、分かりやすくいえば「外部から送信されたスクリプトをブラウザがそのまま実行してしまう欠陥」ということになります。そして、攻撃対象となっているWebサイトが、いわゆる「クロスサイトスクリプティングに対する脆弱性があるサイト」になります。しかし、実際の攻撃は、ターゲットサイトの利用者であるユーザーに対して行われることになり、ユーザーが被害者となるわけです。

また、攻撃サイトからターゲットサイトへというように、あるサイトに記述されているスクリプトが別のサイトへとまたがって（クロスして）実行されることから、「クロスサイト」スクリプティングと呼ばれるのです。

上記のプロセスを見ると、ユーザーが意識的に行わなければならない部分があります。悪意のある人間が作った攻撃サイトにアクセスすることと、ターゲットサイトへのリンクをクリックすることです。皆さんは、そんな訝しいサイトにアクセスなどしないと思われるかもしれません。しかし、そういうサイトがいかにもアンダーグラウンド的な体裁を取っているわけではありません。それに、メールマガジンや知人になりすましたメールにそこのURLを載せたり、大勢がよく利用する掲示板にそういった仕掛けを仕込んでおいたりするだけでも攻撃サイトへ簡単に誘導することができるでしょう。また、攻撃サイトでもユーザーがリンクをクリックするのを待つのではなく、ページの自動更新を利用してユーザーを自動的にターゲットサイトに送り込んでしまうことも可能なのです。

では、実際に起こりうる被害について見てみましょう。

最も指摘されているのがCookieの盗難です。通常、スクリプトからアクセスできる範囲は、そのスクリプトを含んだサイト内に限られます。ところが、クロスサイトスクリプティングの脆弱性があると、攻撃サイトに仕掛けられた「ターゲットサイトのCookieを攻撃サイトに送れ」といったスクリプトが実行されてしまうのです。ユーザーが以前ターゲットサイトにアクセスしCookieを受信していたら、そのCookieは攻撃サイトに送信されてしまいます。

Cookieには、Cookieの名前と値、有効期限、適用範囲といった情報が格納されていることが多いのですが、中にはCookieに格納される情報に問題がある場合があります。例えば、専用ページにログインするためのユーザーIDとパスワードを、安易にCookieに格納しているようなことがあると、このCookieが盗まれてしまった場合、悪意の人間がその人物になりすまして会員ページにログインすることができてしまうことになります。同じように、Cookieになんらかの個人情報が書かれている場合には、その「Cookieの持ち主の個人情報」が知らない間に悪意の人間に開示されてしまうことになるのです。また、重要な情報を扱うサイト用のCookieの有効期限が必要以上に長い場合、そのCookieが盗まれた場合、同様になりすまされる可能性が高くなります。

クロスサイトスクリプティングに対する脆弱性を利用すれば、Cookieの盗難ということだけでなく、本来のページとはまったく関係ない画像を表示させたり、不安をあおる言葉を表示させることもできます。これらは主にターゲットとなるサイトの信用を落としたり、妨害するために行われます。

基本的に、クロスサイトスクリプティングの脆弱性の問題は、Webサイト側の問題として捉えられてきており、オンラインショッピングサイトなどでは対策が進められてきています。一方、サイト側の問題ということで、ユーザー側の認識が薄いのも事実のようです。しかし、まったくサイト側任せにするのは危険です。

ユーザー側がとれる最も簡単な対策は、安易にリンクをクリックしないということになります。大手の信用できるサイトからのリンクなら構いませんが、個人サイトのリンク集からジャンプしないという姿勢が必要です。見たい情報があった場合、サーチエンジンなどを利用して参照先を探すようにするといいでしょう。メールに記述されているURLなども安易にクリックしないようします。不審なメールは、ウイルス対策上もそうですが、開かずに削除するのが妥当です。

また、IEのセキュリティ設定を変更し、インターネットゾーンのセキュリティレベルを「高」にすることも考慮しましょう。不便ですが、信頼できるサイト以外ではJavaScriptなどのスクリプト機能を無効にするといった方法も覚えておくといいでしょう。

（参考）クッキーとは？