サイバー攻撃（２）クロスサイトスクリプティングとフォージェリの違い

インターネット技術の進化に伴い、サイバー攻撃手段も多様化しています。

その手段はより複雑・巧妙になっており、

対策するもいたちごっこの状態が続いています。

情報処理試験の中にも、セキュリティ情報を問う問題が増えてきています。

ＩＰＡ情報推進機構が行う情報処理試験の科目にも、

平成２９年から「情報処理安全確保支援士」試験が新設されました。

この試験は、合格後３年後、

毎年規定の講習を受けないと資格が維持されない仕組みとなっており、

それだけ年々セキュリティ対策が変わっていることを示しています。

今回は、情報セキュリティについて勉強している方なら１度は悩むであろう

「クロスサイトスクリプティング」と「クロスサイトリクエストフォージェリ」

についてお話しさせていただきます！

「クロスサイトスクリプティング」とは？

クロスサイトスクリプティング（ＸＳＳ）とは、

アンケート、掲示板、サイト内検索のように、ユーザからの入力内容を

ウェブページに表示するウェブアプリケーションを持つサイトに、

第３者がなんらかの手段で、

悪意を持ったスクリプト（命令）をページに埋め込むことによって、

そのスクリプトが偽ページの表示などを行い、

入力された個人情報やクッキーから盗み取ったりする攻撃方法です。

入力したユーザの目には、いつもと同じページが表示されているのですが、

実は中で入力情報を盗聴されている状態です。

「クロスサイトスクリプティング」の事例、件数の推移は？

ＸＳＳによる脆弱性の届出件数は、他の脆弱性に比べて多くなっています。

ＩＰＡ情報処理推進機構によると、

ＸＳＳの被害届出受付開始から２０１４年第４四半期までに、

「ウェブサイトの届出件数の約５割」に相当する届出を受けています。

このような届け出件数の多さは、ログイン情報を盗まれるＸＳＳは、

不正アクセスによる被害が多数発生し

色々なウェブサービスで被害を被る事象であることを示しています。

ＸＳＳの１つの例として、

動画共有サイトの米ＹｏｕＴｕｂｅを狙った攻撃があります。

ＹｏｕＴｕｂｅのサイトを開き動画を再生すると、

ショッキングなデマが流れたり、コメントが表示されなくなるなどの

影響が広がったという事象がありました。

またＴｗｉｔｔｅｒを利用して、

本当にＸＳＳの虚弱性があるのかを（悪意の無い）

クラッカーによって実験された例として、

ツイートにマウスカーソルを載せるとすぐにその内容がリツイートされ拡散される、

という事象が発生しました。

「クロスサイトリクエストフォージェリ」とは？

クロスサイトリクエストフォージェリ（ＣＳＲＦ）とは、

ＳＮＳなどのウェブサイトにログインした状態で、

掲示板などの別のサイトやメール中に記載されているリンクをクリックした時に、

この細工されたリンク中の悪意ある要求（リクエスト）が、

クリックしたユーザの要求であるかのように偽って（フォージェリ）、

ログイン中のウェブサイトで、ユーザの意思とは別の操作をさせる攻撃方法です。

自分で設定変更した覚えのない操作が、

悪意あるリンクのクリックによって実施されてしまう状態です。

「クロスサイトリクエストフォージェリ」の事例、件数の推移は？

ＣＳＲＦの事例として比較的有名なのが「はまちちゃん」大量発生事件です。

ソーシャル・ネットワーキングサイトの「ｍｉｘｉ」にログインした状態で、

ＵＲＬをクリックすると

勝手に”ぼくはまちちゃん！”というタイトルで日記がアップされてしまう

という現象が多発しました。

はまちちゃん日記にはさらに悪意あるリンクが貼られており、

このリンクをクリックすることで更に被害者が拡大したと言われています。

ＩＰＡ情報処理推進機構によると、ＣＳＲＦによる脆弱性の届出件数は、

ウェブサイトの届出全体に対して１％未満と多くはありません。

しかしながらＣＳＲＦについては、ソフトウェア製品の届出を含め、

２００６年頃から継続的に届出を受けています。

クロスサイトスクリプティングとクロスサイトリクエストフォージェリの違い　おわりに

名前だけ見るととてもややこしい、ＸＳＳとＣＳＲＦ、

見分けるにはどうしたら良いでしょう？

まずは、ログイン情報の入力「前」か「後」かで区別しましょう。

次に、利用者から見た対策方法で区別するのも良いですね。

サイトの脆弱性を語るには、必ず付いて回るＸＳＳとＣＳＲＦ。

これを機会に、しっかり覚えてくださいね。

最後までお読みいただき、ありがとうございました。