掲載日:2023/11/09
『クロスサイトスクリプティング(XSS)』とは、Webサイトの脆弱性を利用して悪質なスクリプトを実行させるために行われる攻撃を指します。サイト内検索やWebアプリケーションなどが対象になりやすく、以前から行われているサイバー攻撃の手法です。
セキュリティ面で懸念のある状態を放置していれば、個人情報の流出やWebサイトの改ざんなどの実害を被ってしまう可能性があります。この記事では、『クロスサイトスクリプティング(XSS)』がもたらす脅威や対策、実際に起こった被害の事例などを解説します。
『クロスサイトスクリプティング(XSS)』攻撃とは?
『クロスサイトスクリプティング(XSS)』とは、Webサイトの脆弱性を利用して、悪質なスクリプトを実行させる攻撃を意味しています。主な例としてアンケートサイトやサイト内検索など、ユーザーが入力した内容をもとにしてWebページを生成するサイトや、Facebookなどの投稿サイトが対象になりやすいといえます。
独立行政法人『情報処理推進機構(IPA)』が公表している2023年第2四半期(4~6月)の『ソフトウェア等の脆弱性関連情報に関する届出状況』によれば、本四半期は『クロスサイトスクリプティング(XSS)』が49件と最も多い結果となっています。近年でも被害の報告がある点を踏まえて、必要なセキュリティ対策を行う必要があるでしょう。
『クロスサイトスクリプティング(XSS)』攻撃によって発生する脅威を紹介
『クロスサイトスクリプティング(XSS)』攻撃によって生じる脅威とは、主に以下のものが挙げられます。
| ・個人情報の流出 ・Webページを改ざんされる ・セッションハイジャック |
|---|
それぞれの脅威について解説します。
個人情報の流出
『クロスサイトスクリプティング(XSS)』攻撃によって、個人情報が流出する恐れがあります。名前・住所・生年月日などの個人情報が流出してしまえば、情報リストとして売却される可能性があるでしょう。
また、パスワードリスト攻撃の標的になってしまい、不正アクセスが起こる恐れもあります。個人情報が流出してしまうだけでも、さまざまなリスクが発生するケースがあるので注意が必要です。
Webページの改ざん
『クロスサイトスクリプティング(XSS)』攻撃は、外部から任意のコードを埋め込んで不正操作が行えるため、Webページを改ざんされる恐れがあります。具体的には、ページのヘッダーやボディを改ざんされ、偽のページ内容が表示されてしまうケースがあります。
セッションハイジャック
セッションハイジャックとは、Webサイト上のIDやCookieを不正に入手し、セッションを乗っ取るサイバー攻撃を指します。セッションハイジャックが行われると、ユーザーになりすますことができるため、機密情報の流出や不正出金などの被害に遭う可能性があります。
『クロスサイトスクリプティング(XSS)』の攻撃に対する対策方法
『クロスサイトスクリプティング(XSS)』の攻撃に対する対策方法としては、主に以下のものが挙げられます。
| ・ブラウザを最新のものにアップデートする ・セキュリティソフトを導入する ・メール内やWeb上の不審なURLを安易にクリックしない |
|---|
それぞれの対策方法について解説します。
ブラウザを最新のものにアップデートする
『クロスサイトスクリプティング(XSS)』攻撃は、ブラウザの脆弱性を利用したケースが多いため、ブラウザを常に最新のものにアップデートすることが重要です。OSやアプリケーションを含め、定期的に更新を行っていく体制を整えましょう。
セキュリティソフトを導入する
さまざまなサイバー攻撃に備えるには、セキュリティソフトの導入が有効な方法だといえます。危険性のあるWebサイトにアクセスするのを防いでくれたり、通信そのものを遮断してくれたりする機能が備わっているものもあるからです。
ブラウザのアップデートと同様に、セキュリティソフトも最新のものを導入してみましょう。古いバージョンのものだと、最近のマルウェアに対応できていないものもあるので注意が必要です。
メール内やWeb上の不審なURLを安易にクリックしない
サイバー攻撃を防ぐためには、不審なメールを開いたり、安易にURLをクリックしたりしないことが大切です。Webサイトを閲覧する前には、正しいURLであるのかをチェックした上でアクセスする必要があります。
また、近年においてはSNSやスマートフォンの普及によって、誰でもインターネットにアクセスできる環境にあるため、日頃からセキュリティ意識を身につける教育に取り組むことも重要です。
『クロスサイトスクリプティング(XSS)』の攻撃によって被害を受けた事例
クロスサイトスクリプティング(XSS)の攻撃の被害に遭うとどのような影響があるのかを知るには、実際に起こった事例から学ぶことも大切です。ここでは、次の事例を紹介します。
| ・YouTube ・Twitter(現:X) ・PayPal |
|---|
YouTube
YouTubeにおいて、2010年にコメント投稿に関するシステムの脆弱性を悪用した『クロスサイトスクリプティング(XSS)』攻撃が行われました。無関係なWebサイトにリダイレクトされたり、デマニュースが表示されたりする被害が起こりました。
Twitter(現:X)
Twitter(現:X)では、2010年に『マウスカーソルを載せただけで勝手に任意のテキストが投稿される』というワームが一気に拡散する問題が起こりました。さまざまな亜種が作成されたことによって、Twitterでは意味不明な投稿があふれ、リツイートされてしまうコードが投稿されたことから最大で約50万人に影響が出ました。
PayPal
2015年にPayPalでは、セキュアペイメントページを直接書き換えることができるという、『クロスサイトスクリプティング(XSS)』攻撃に対する重大な脆弱性が発見されました。問題の報告を受けたことで、PayPalでは早急な対応を行い、被害が出ることはありませんでした。
しかし、大手企業においても被害を受ける恐れがあるということで注目されました。
『クロスサイトスクリプティング(XSS)』攻撃などによってセキュリティの需要は上がっていく
『クロスサイトスクリプティング(XSS)』などのサイバー攻撃は、インターネットの普及によって増加しています。一方で、サイバー攻撃への対策としてセキュリティに関する需要も高まっているといえるでしょう。
国立研究開発法人・情報通信研究機構のサイバーセキュリティ研究所が発表した『NICTER 観測レポート2022』によれば、サイバー攻撃によるパケット量が過去10年間において増加傾向にあることがわかります。
また、総務省の『令和4年版 情報通信白書』によれば、無線LANに関するセキュリティ意識への認知度は高いものの、送信ドメイン認証技術の導入状況は微増に留まっています。包括的なセキュリティ対策に取り組むには、セキュリティエンジニアなどの専門職と連携し、取り組んでいくことが重要だといえます。
セキュリティの需要が上がっているいま、セキュリティエンジニアがおすすめ
『クロスサイトスクリプティング(XSS)』をはじめとした様々な形でのサイバー攻撃が増えているといった状況から、セキュリティに関する需要は高まっています。サイバー攻撃による脅威を防ぐ役割を担うのが『セキュリティエンジニア』であり、おすすめといえるポイントとして以下の点が挙げられます。
| ・『クロスサイトスクリプティング(XSS)』などのサイバー攻撃が増えている ・IT人材が不足している ・専門性が高く、将来性があって高い年収が見込める |
|---|
それぞれの点について解説します。
『クロスサイトスクリプティング(XSS)』などのサイバー攻撃が増えている
クロスサイトスクリプティング(XSS)をはじめとしたサイバー攻撃は、増加傾向にあります。総務省が公表している『令和4年版 情報通信白書』によれば、サイバー攻撃は2015年と比較すると近年大幅に増加しています。
そのため、専門的なセキュリティ対策が行えるセキュリティエンジニアの需要は、これからも増えていくと予想されます。
IT人材が不足している
経済産業省が2019年に公表した『IT人材需給に関する調査(概要)』によれば、IT人材の不足が年々拡大していくことがわかります。2025年で36万人、2030年で45万人のIT人材が不足すると予測されています。
労働生産性の向上によって人材不足を補う取り組みなども行われていますが、将来的にますますIT人材の不足が懸念されているため、セキュリティエンジニアに対する需要は高いといえるでしょう。
専門性が高く、将来性があって高い年収が見込める
厚生労働省が公表している『令和4年 賃金構造基本統計調査』によれば、一般労働者の平均賃金は月収で『31.18万円(男女計)』となっています。年収ベースに換算すれば、約374万円です。
一方で、セキュリティエンジニアの年収水準は企業規模や年齢によりますが、約480~640万円となっています。他業界と比べて高い年収水準にあるため、将来性のある職種だといえるでしょう。
まとめ:『クロスサイトスクリプティング(XSS)』とはサイバー攻撃のこと
『クロスサイトスクリプティング(XSS)』とはサイバー攻撃の一種であり、主な被害としては個人情報の流出やWebページの改ざんなどが挙げられます。サイバー攻撃による被害を防ぎ、リスクを低減させるためにはセキュリティ対策に取り組むことが重要です。
『ブラウザを最新のものにアップデートする』『セキュリティソフトを導入する』『メール内やWeb上の不審なURLを安易にクリックしない』といった基本的な取り組みから始めることが大切になるでしょう。
また、サイバー攻撃による脅威を防ぐ役割を担う『セキュリティエンジニア』について、さらに詳しく知りたい方は以下の記事も参考にしてみてください。
セキュリティエンジニアにおすすめの資格やその難易度とは