最終更新日時:2024.12.04 (公開日:2023.01.19)

WAFはクロスサイトスクリプティング(XSS)攻撃に有効なの?

クロスサイトスクリプティング(XSS)攻撃をご存じでしょうか?XSS攻撃に関する脆弱性が多数報告されており、攻撃を受けるとWebサイトの不正改ざん、顧客情報取得、カードの不正利用等の被害を受ける可能性があります。そしてこの脆弱性をついた被害は毎年のように報告されています。

2021年に、EC通販も手掛ける流通大手企業を始めとして、同じECサイト構築サービスを利用していた計11社のECサイトがXSS攻撃を受け、のべ43万件にも達する情報漏洩が発生しました。

基幹サーバーに対する不正アクセスの痕跡が見つかったことからXSS攻撃であると断定され、サーバーに対する外部からのアクセスを遮断するなどの対策に追われる事態へと発展しました。

参照:SaaSに新手のXSS攻撃

ではこのような被害を防ぐにはどうしたらいいのでしょうか?今回はXSS攻撃の概要と、サイバー攻撃から簡単にWebサイトを守る事ができるWAFが、XSS攻撃への対策として有効かどうか解説していきます。

クロスサイトスクリプティング(XSS)とは

XSSとは、攻撃者がWebサイトの脆弱性を利用して悪質なスクリプトを埋め込み、それをサイト利用者のPCで実行させる攻撃です。この埋め込まれたスクリプトでは任意の操作を実行できる可能性があるため、クレジットカードの不正利用・個人情報の流出といった具合に、取り扱いには十分注意を払っているはずの情報へ不正にアクセスされてしまう被害が実際に報告されています。

また、IPA(情報処理推進機構)が掲載している脆弱性に関する届出において、XSSの脆弱性が常に上位に挙げられています。2022年4月~6月の届出では、全体の58%を占め最も多く報告されています。

参照:ソフトウェア等の脆弱性関連情報に関する届出状況[2022年第2四半期(4 月~6 月)]

では、XSS攻撃とは具体的にどのように行われるのか説明します。

クロスサイトスクリプティング(XSS)攻撃とはどのようにして行われるのか

XSS攻撃の流れを説明していきます。

  1. メール・SNS等を介してリンクを送信する
  2. 誤ってクリックする
  3. 悪意のあるスクリプトが含まれたWebページが表示される
  4. スクリプトが実行され個人情報漏洩等などの被害が発生する

以上がXSS攻撃の発生する流れになります。

攻撃者はサイトやURLが怪しいと気づかれないようにする為に、様々な手法を使って誘導するため、ユーザー側の注意だけでは被害を避ける事は困難です。

XSS攻撃を含めたサイバー攻撃は、Webサイトの脆弱性を利用して攻撃してくる事をお伝えしました。では、脆弱性がないWebサイトを作ればいいのでは?と考えるかと思います。しかしながら、今日ではほとんどのWebサイトが表示内容を動的に生成するようになっていることもあり、’脆弱性が無いWebサイトは無い’と言って良いくらいです。様々な原因で脆弱性は発生しますし、毎年新たな脆弱性は報告されているため、脆弱性の無いWebサイトを作ることはどんどん難しくなってきています。

サイバー攻撃者はそういった脆弱性をセキュリティ対策でカバーしていないWebサイトを見つけ、日々攻撃をしかけています。

ではこういった攻撃や被害を防ぐ為には、どんな対策が必要になるでしょうか?

Webサイトを制作する段階では、スクリプトの入力を無効化するサニタイジング処理や、入力内容が項目と合っているか判断するバリデーション処理等の対策が、有効になります。

ユーザー側での対策であれば、WAFが有効であると言えるでしょう。

次の章でWAFが対策としてどのように有効化説明します。

WAFはクロスサイトスクリプティング(XSS)攻撃を防ぐのに有効か?

WAFとは、Web Application Firewall (ウェブアプリケーションファイアウォール)の略で、「(ECサイトやコーポレートサイトなどを始めとした)Webサイトをサイバー攻撃から守るツール」になります。XSS攻撃もWebサイトを狙った攻撃である為、XSS攻撃の対策としてWAFは有効です。

WAFは、通信の経路上に配置する事で全ての通信を検査・解析し、攻撃者からの不正な攻撃だと検知した場合にその通信を遮断するという動きをします。また、Webサイトに脆弱性が発見され改修までに時間がかかる場合でも、その間WAFがWebサイトを保護してくれます。WAFはXSS以外にもSQLインジェクションなどのWebサイトを狙った様々なサイバー攻撃からWebサイトを保護します。

まとめ

WAFはXSS攻撃に有効なのかを説明してきました。

XSS攻撃を受けた事例やその攻撃の流れをお伝えしましたが、良く聞く事例だと思った方は多いと思います。XSS攻撃に対する脆弱性は、その影響度からとても多くの人に注目されるようになってきています。脆弱性全体の中でも半分以上がXSS攻撃に関するものであり、身近に起こりやすい攻撃だといえます。身近な攻撃だからこそ、XSS攻撃へのセキュリティ対策は必須になります。

また、XSS対策の説明でもお伝えしたように、サービス提供者がどんなに細心の注意を払ってもXSS対策の漏れが発生する場合はあります。ですが、できることはしっかりとやっておきたいですね。

セキュリティ対策を検討中の方やサイト運営者の方には、初期設定が比較的簡単で手軽に始めやすいWAFがお勧めです。これを機会に検討されてみてはいかがでしょうか。

当サイトではWebサイト、モバイル、IoTへの脆弱性のリスクを考えている方や、サイバー攻撃の脅威から守るWAFやセキュリティ診断に興味がある方へ、ダウンロード資料をご用意しております。ぜひ資料をダウンロードいただき、ご活用ください。

Copyright © VALTES CO.,LTD. All Rights Reserved.