最終更新日時：2024.01.04 （公開日：2023.01.19）

WAFはクロスサイトスクリプティング(XSS)攻撃に有効なの?

クロスサイトスクリプティング（XSS)攻撃をご存じでしょうか？XSS攻撃に関する脆弱性が多数報告されており、攻撃を受けるとWebサイトの不正改ざん、顧客情報取得、カードの不正利用等の被害を受ける可能性があります。そしてこの脆弱性をついた被害は毎年のように報告されています。

2021年に、EC通販も手掛ける流通大手企業を始めとして、同じECサイト構築サービスを利用していた計11社のECサイトがXSS攻撃を受け、のべ43万件にも達する情報漏洩が発生しました。

基幹サーバーに対する不正アクセスの痕跡が見つかったことからXSS攻撃であると断定され、サーバーに対する外部からのアクセスを遮断するなどの対策に追われる事態へと発展しました。

参照：SaaSに新手のXSS攻撃

ではこのような被害を防ぐにはどうしたらいいのでしょうか？今回はXSS攻撃の概要と、サイバー攻撃から簡単にWebサイトを守る事ができるWAFが、XSS攻撃への対策として有効かどうか解説していきます。

クロスサイトスクリプティング（XSS）とは

XSSとは、攻撃者がWebサイトの脆弱性を利用して悪質なスクリプトを埋め込み、それをサイト利用者のPCで実行させる攻撃です。この埋め込まれたスクリプトでは任意の操作を実行できる可能性があるため、クレジットカードの不正利用・個人情報の流出といった具合に、取り扱いには十分注意を払っているはずの情報へ不正にアクセスされてしまう被害が実際に報告されています。

また、IPA（情報処理推進機構）が掲載している脆弱性に関する届出において、XSSの脆弱性が常に上位に挙げられています。2022年4月～6月の届出では、全体の58%を占め最も多く報告されています。

では、XSS攻撃とは具体的にどのように行われるのか説明します。

■バルテスのセキュリティサービスがこの1冊でわかる！基本ガイドブック無料配布中！

■無料で読める！サイバー攻撃対策の新常識をマンガで解説

クロスサイトスクリプティング（XSS）攻撃とはどのようにして行われるのか

XSS攻撃の流れを説明していきます。

メール・SNS等を介してリンクを送信する
誤ってクリックする
悪意のあるスクリプトが含まれたWebページが表示される
スクリプトが実行され個人情報漏洩等などの被害が発生する

以上がXSS攻撃の発生する流れになります。

攻撃者はサイトやURLが怪しいと気づかれないようにする為に、様々な手法を使って誘導するため、ユーザー側の注意だけでは被害を避ける事は困難です。

XSS攻撃を含めたサイバー攻撃は、Webサイトの脆弱性を利用して攻撃してくる事をお伝えしました。では、脆弱性がないWebサイトを作ればいいのでは？と考えるかと思います。しかしながら、今日ではほとんどのWebサイトが表示内容を動的に生成するようになっていることもあり、’脆弱性が無いWebサイトは無い’と言って良いくらいです。様々な原因で脆弱性は発生しますし、毎年新たな脆弱性は報告されているため、脆弱性の無いWebサイトを作ることはどんどん難しくなってきています。

サイバー攻撃者はそういった脆弱性をセキュリティ対策でカバーしていないWebサイトを見つけ、日々攻撃をしかけています。

ではこういった攻撃や被害を防ぐ為には、どんな対策が必要になるでしょうか？

Webサイトを制作する段階では、スクリプトの入力を無効化するサニタイジング処理や、入力内容が項目と合っているか判断するバリデーション処理等の対策が、有効になります。

ユーザー側での対策であれば、WAFが有効であると言えるでしょう。

次の章でWAFが対策としてどのように有効化説明します。

WAFはクロスサイトスクリプティング（XSS）攻撃を防ぐのに有効か？

WAFとは、Web Application Firewall (ウェブアプリケーションファイアウォール)の略で、「（ECサイトやコーポレートサイトなどを始めとした）Webサイトをサイバー攻撃から守るツール」になります。XSS攻撃もWebサイトを狙った攻撃である為、XSS攻撃の対策としてWAFは有効です。

WAFは、通信の経路上に配置する事で全ての通信を検査・解析し、攻撃者からの不正な攻撃だと検知した場合にその通信を遮断するという動きをします。また、Webサイトに脆弱性が発見され改修までに時間がかかる場合でも、その間WAFがWebサイトを保護してくれます。WAFはXSS以外にもSQLインジェクションなどのWebサイトを狙った様々なサイバー攻撃からWebサイトを保護します。

まとめ

WAFはXSS攻撃に有効なのかを説明してきました。

XSS攻撃を受けた事例やその攻撃の流れをお伝えしましたが、良く聞く事例だと思った方は多いと思います。XSS攻撃に対する脆弱性は、その影響度からとても多くの人に注目されるようになってきています。脆弱性全体の中でも半分以上がXSS攻撃に関するものであり、身近に起こりやすい攻撃だといえます。身近な攻撃だからこそ、XSS攻撃へのセキュリティ対策は必須になります。

また、XSS対策の説明でもお伝えしたように、サービス提供者がどんなに細心の注意を払ってもXSS対策の漏れが発生する場合はあります。ですが、できることはしっかりとやっておきたいですね。

セキュリティ対策を検討中の方やサイト運営者の方には、初期設定が比較的簡単で手軽に始めやすいWAFがお勧めです。これを機会に検討されてみてはいかがでしょうか。

当サイトでは、サイバー攻撃を防ぐためのWAFに興味がある方へ、参考になるダウンロード資料をご用意しております。「サイバー攻撃可視化ツールPrimeWAF　基本ガイドブック」は、WAF選定時に抑えるべき機能やポイントがわかる資料になっています。ぜひ資料をダウンロードください。

WAFはクロスサイトスクリプティング(XSS)攻撃に有効なの?

クロスサイトスクリプティング（XSS）とは

クロスサイトスクリプティング（XSS）攻撃とはどのようにして行われるのか

WAFはクロスサイトスクリプティング（XSS）攻撃を防ぐのに有効か？

まとめ

POPULAR人気の記事

RECENTLY最新記事

CATEGORYカテゴリー

Tagタグ

WAFはクロスサイトスクリプティング(XSS)攻撃に有効なの?

クロスサイトスクリプティング（XSS）とは

クロスサイトスクリプティング（XSS）攻撃とはどのようにして行われるのか

WAFはクロスサイトスクリプティング（XSS）攻撃を防ぐのに有効か？

まとめ

関連記事

WAF導入方法とは？アプライアンス型、ソフトウェア型、クラウド型を一挙に解説

WAFが守る攻撃パターンを一挙にご紹介！こんなに攻撃の種類があるの？

CDNとWAFとの違いとは？どっちが必要？優先なの？ズバリ答えます

WAFの基本を5分で解説！シグネチャによるトラフィック検査

WAFを使ってセキュリティ対策を手軽に始めよう！WAFの設定が簡単な理由もわかりやすく解説

WAF 10製品を徹底比較 クラウドWAF料金やオープンソース（OSS）も解説！世の中にこんなにあるの？がわかります

DDoSとは？サイバー攻撃対策としてWAFが有効な理由

WAFの機能ってなに？WAFでできることを知ってみよう！

AWSやAzureのクラウド環境にWAFを導入する方法とは？

PHPシステムのセキュリティ対策としてのWAF 何に注意すればいいの？

WAFでSQLインジェクションからWebサイトを守ろう！

クラウドWAFとは？入門編として製品と仕組みを理解してみよう

もうWAFなんて怖くない！ログから見えてくるWAF解説

WAFで設定可能なIP制限について考えてみたら、注意点が見えた！

WAFの説明はどれか？セキュリティを学び始めたあなたへ

最新記事

脆弱性診断とペネトレーションテストの違いとは？

セキュリティ診断ってなに？種類や手法をご紹介

脆弱性テストとは？ツール診断と手動診断の必要性をわかりやすく解説

脆弱性診断ツール5選 安心してサイト公開やシステム構築するために

POPULAR人気の記事

RECENTLY最新記事

CATEGORYカテゴリー

Tagタグ

WAF 10製品を徹底比較クラウドWAF料金やオープンソース（OSS）も解説！世の中にこんなにあるの？がわかります

PHPシステムのセキュリティ対策としてのWAF　何に注意すればいいの？

脆弱性診断ツール5選安心してサイト公開やシステム構築するために