大手検索サイトに見るクロスサイトスクリプティングの脆弱性の実態 | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2017.09.26(火)

大手検索サイトに見るクロスサイトスクリプティングの脆弱性の実態

製品・サービス・業界動向 業界動向

 Webサイトは、その運用上自ホストのリソースや、その中に蓄積されている情報を保護しなければいけないのは当然である。そして、Webを閲覧するユーザや顧客に危害を与えないよう安全を確保するのはそれ以上に当たり前の大前提である。このWeb閲覧者の安全性に関わりの深い問題に、クロスサイトスクリプティングの脆弱性問題がある。

 大手の9検索サイトのクロスサイトスクリプティングの脆弱性問題についての実態を調査し、またこれらサイトの問題への対応状況について検討した結果、安全管理について本来責任のある人々が、一部は問題を自覚しながらも、不十分な安全管理体制しかとれていないという実態が改めて明らかになった。

[クロスサイトスクリプティングの脆弱性とは]

 まず「クロスサイトスクリプティングの脆弱性」とは何かということを簡単に説明する。クロスサイトスクリプティングの脆弱性は、ユーザなどの入力に応じて表示するページの内容を変化させるような、例えば掲示板のようなcgiページなどに見られる問題である。セキュリティのことをよく考えていない掲示板では、書き込み者が入力したタグがそのまま掲示板の表示として出力され、その結果掲示板全体が意図されたように表示されなくなったり、閲覧者に対して有害なScript等が動作したりする。もう少し一般化してクロスサイトスクリプティングの脆弱性を説明すると、他のページなどから、特殊な文字列を含むURLで誘導されて来たWeb閲覧者が、Web制作者が想定していない効果をもたらすタグを含んだページをブラウザに表示されてしまい、何らかの害を被ってしまうような問題だと言える。

 日本でもWebサイトに関する最初のインシデントとして記録されているのは、1997年に総務省の掲示板にタグが書き込まれ、その掲示板を閲覧しようすると、オウム真理教の音楽が外部サイトから読み込まれて鳴るようになったという事件であり、このようにクロスサイトスクリプティングの脆弱性は古くから存在する問題である。最近この「クロスサイトスクリプティングの脆弱性」が改めて問題視されるようになったのは、この脆弱性によって引き起こされる最悪の事態の一つとして、Web閲覧者の個人情報やWebサービス契約に関する特権を悪意ある第三者に奪われる危険性があることがわかってきたからである。

 他サイトの(悪意ある)特殊な文字列をURLに含んだリンクなどによって誘導されてきたWeb閲覧者のブラウザ上で、問題となるWebサイトから読み出された(Web制作者が想定していない)悪意あるJavaScriptが起動させられることがある。そのJavaScriptは閲覧者のブラウザに蓄積されている該当WebについてのCookieを読み出すことが可能で、読み出したその情報を第三者に送付することもできる。Cookieの情報を盗まれると、そのCookieで管理している個人情報を不当に取得されたり、あるいは該当Webサイトでのユーザの(有料サービスを利用するなどの)権利を奪われてしまったりする。

[調査内容]

 ユーザの入力に従って表示されるページ内容が異なる典型的なWebシステムとして、検索ページをあげることができるだろう。ユーザがキーワードなどの情報を与えてやると、それに応じて検索結果などが動的に生成されて表示される。大手検索ページはまたポータルサイトを目指して作られてきた経緯から多額の資金を投入されて高い技術力を誇っていると考えられ、また一方ではこのようなサイトは初心者も利用することも多く、これらユーザは十分保護されるべきだと考えられる。



office
office@ukky.net
http://www.office.ac/


詳しくはScan Daily EXpressおよびScan 本誌をご覧下さい)
http://vagabond.co.jp/vv/m-sdex.htm
http://vagabond.co.jp/vv/m-sc.htm

《ScanNetSecurity》

Scan PREMIUM 会員限定

もっと見る

Scan PREMIUM 会員限定特集をもっと見る

Scan BASIC 会員限定記事

もっと見る

Scan BASIC 会員限定記事特集をもっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)

もっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)特集をもっと見る

カテゴリ別新着記事

製品・サービス・業界動向 カテゴリの人気記事 MONTHLY ランキング

  1. 次世代FW+Sandbox+SIEM+SOCの管理体制が限界を迎えるとき~三年後を先取りするVectra Networks社製品とは

    次世代FW+Sandbox+SIEM+SOCの管理体制が限界を迎えるとき~三年後を先取りするVectra Networks社製品とは

  2. 「サイバーセキュリティ関連で最もクールな4つの職種」を発表(マカフィー)

    「サイバーセキュリティ関連で最もクールな4つの職種」を発表(マカフィー)

  3. 30年度サイバーセキュリティ政府予算730億円、防衛省と厚労省が各45億円超(NISC)

    30年度サイバーセキュリティ政府予算730億円、防衛省と厚労省が各45億円超(NISC)

  4. 世界の大規模漏えい事故から、日本企業の「社外」にある情報資産を可視化(イード)

  5. 顔認証システムの現状、顔写真を使った「なりすまし」も3Dデータ照合で防ぐ

  6. ルートゾーンKSKロールオーバーのプロセス開始、DNSパケットサイズに注意(JPRS)

  7. 自分の利用しているサーバの状況を確認する方法 不正中継確認

  8. ルートゾーンKSKの情報更新など呼びかけ、期限は9月19日まで(総務省)

  9. アジア以外ではランサムウェアの検出数が前年の2倍に、脅威の進化も(チェック・ポイント)

  10. ディープラーニングを採用したイスラエルのエンドポイント保護製品を発売(アズジェント)

全カテゴリランキング

★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★
<b>★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★</b>

経営課題としてサイバーセキュリティに取り組む情報システム部門や、研究・開発・経営企画に携わる方へ向けた、創刊19年のセキュリティ情報サービス Scan PREMIUM を、貴社の事業リスク低減のためにご活用ください。

×