Webサイトの中には、ユーザーが入力した内容を基にしてコンテンツを表示するものがある。検索エンジンや掲示板、SNS、アンケートフォームなどがその例だ。

このようなWebサイトやアプリケーションは広く流通しているが、XSSの標的になりやすいという特徴もある。XSSとは、任意の内容を入力できる機能を悪用し、Webサイトに悪意のあるスクリプト（簡易的なプログラム）を埋め込むというサイバー攻撃だ。

一般的に、今日のWebサイトはこのようなスクリプトの埋め込みを検知し、自動的に排除する機能を有している。しかし、まれに適切な処理が行われず脆弱（ぜいじゃく）性を露呈しているWebサイトは、XSSの標的となる可能性がある。

XSS自体は以前から存在するサイバー攻撃の手法だが、近年は被害事例が多数報告されているという。実際、情報処理推進機構（経済産業省所管の独立行政法人）が発表した調査によると、2023年第1四半期におけるWebサイト脆弱性についての届出は、XSSに関する内容が全体の59％を占め最多となっている。

XSSが実行される際の具体的な流れは以下のとおりだ。

まず、悪意ある攻撃者が不特定多数に対し罠となるページのURLをばらまく。具体的には、SNSや掲示板などに罠ページのURLを書き込んだり、本文中にURLを記載したメールを不特定多数に送り付けたりといった形でばらまきが行われる。

このURLを第三者のユーザーがクリックすると、攻撃対象のWebサイトでスクリプトを含むわなページが自動的に出力される。その後、ユーザーのブラウザ上でスクリプトが実行され、Cookieを不正に取得するなどの方法により、ユーザーの個人情報が悪意ある攻撃者に漏えいするという流れだ。

すなわち、第三者のユーザーはWebサイトを閲覧しているだけなのに、無自覚のまま悪意ある攻撃者の手助けをしているという点が悪質なのである。

XSSに似たサイバー攻撃として、SQLインジェクションが挙げられる。これは、SQLと呼ばれるデータベース言語の一種を不正に書き換えることで、Webサイトのデータベースへ不正にアクセスするというものだ。ただし、XSSが個人情報の不正な取得を目的にしたものであることに対し、SQLインジェクションは個人情報の取得に加え、Webサイトの改ざんや消去を目的とする点に違いがある。

SQLインジェクションの詳細はこちら！

企業が自身の運営するWebサイトをXSSから防衛する際は、ファイアウォールやIPS/IDSといった一般的な検知・防御システムに加え、別途WAF（Web Application Firewall）を導入することをおすすめしたい。WAFとは、Webサイトとユーザー間の通信の内容を監視し、不正な兆候を検知した場合は遮断するソリューションである。XSSのように、一般ユーザーのアクセスであるにもかかわらず不正な通信となるケースを防止するには、最適な効果を発揮すると言えるだろう。

WAFは長らくアプライアンス型の製品が主流だったが、これは導入企業の特性に合わせている都合上、コストの高騰や運用の専門化を招く原因となっていた。しかし、近年一般化しているクラウド型のWAFであれば、イニシャルコストを抑えて運用負担を減らすことも可能である。これまで敬遠していた中小企業でも気軽に利用できるようになり、一気にWAFの導入が現実的な選択肢となった。

XSSの攻撃者は個人情報の大量取得が目的だが、標的となるのは大企業だけではない。中小企業であっても大量の顧客情報を持っていると、企業規模にかかわらず標的となるのが実情だ。むしろ、コストの負担を懸念してセキュリティの充実を尽くしにくい中小企業は格好の餌食となり得る。クラウド型のWAFなど、手軽に始められる対策で一刻も早く準備を進めたいところだ。