XSS攻撃とは?種類・仕組み・対策を解説

By /

XSS(クロスサイトスクリプティング)攻撃とは?種類・仕組み・対策を徹底解説

インターネットを利用する上で、Webアプリケーションは私たちの生活に不可欠な存在となっています。しかし、その利便性の陰には、様々なサイバー攻撃の脅威が潜んでいます。中でも「XSS(クロスサイトスクリプティング)攻撃」は、古くから存在し、現在もなお多くのWebサイトで見られる深刻な脆弱性の一つです。

本記事では、XSS攻撃とは一体何なのか、その仕組み、多様な種類、そして開発者側・ユーザー側の双方に求められる対策について、詳細かつ網羅的に解説します。約5000語のボリュームで、XSSに関する知識を深め、自身のWebサイトや利用しているサービスのセキュリティを高めるための一助となることを目指します。

1. はじめに:なぜXSS攻撃を知る必要があるのか

Webアプリケーションは、ユーザーからの入力データを受け取り、処理し、その結果をユーザーのブラウザに表示するというサイクルで動作しています。このプロセスにおいて、ユーザーからの入力データを適切に扱わない場合に発生する脆弱性が、XSS攻撃の原因となります。

XSS攻撃は、攻撃者が仕込んだ悪意のあるスクリプト(主にJavaScript)を、Webサイトの訪問者(他のユーザー)のWebブラウザ上で実行させる攻撃手法です。これにより、攻撃者はユーザーのセッション情報の窃盗、個人情報の不正取得、偽情報の表示、さらにはマルウェア感染など、様々な不正行為を行うことが可能となります。

XSS攻撃は、SQLインジェクションなどと並んで、Webアプリケーションにおける「OWASP Top 10」(IPAなどでも公開されている、最も危険なセキュリティ上のリスクリスト)にも常に含まれるほど一般的な脆弱性です。多くのWebサイトがこの脆弱性を持つ可能性があり、開発者だけでなく、Webサービスを利用する一般ユーザーもその危険性を理解しておくことが重要です。

2. XSS攻撃とは?その定義と目的

2.1 XSS(クロスサイトスクリプティング)の定義

XSS(Cross-Site Scripting)攻撃とは、Webアプリケーションの脆弱性を悪用し、攻撃者が用意した悪意のあるスクリプトを、そのWebアプリケーションを利用している別のユーザーのWebブラウザ上で強制的に実行させるサイバー攻撃手法です。

なぜ「クロスサイト」と呼ばれるのでしょうか? これは、かつて攻撃手法が、脆弱性のあるサイト(例えば掲示板)に悪意のあるスクリプトを投稿し、その投稿を見た別のサイト(例えばオンラインバンキング)のユーザーが、投稿先のサイトから攻撃元サイト(攻撃者が用意したサイト)へアクセスした際に、その攻撃元サイトからスクリプトが実行される、というような形でサイトを跨いで行われることが多かった名残です。現在では必ずしもサイトを跨ぐとは限りませんが、「クロスサイトスクリプティング」という名称が定着しています。

略称としては「CSS」ではなく「XSS」が一般的に用いられます。これは、Cascading Style Sheets(CSS)との混同を避けるためと言われています。

2.2 XSS攻撃の目的

XSS攻撃の主な目的は、攻撃対象となるユーザーのブラウザ上で、攻撃者が意図した任意のスクリプトを実行させることです。このスクリプト実行により、攻撃者は様々な不正行為を働くことが可能になります。具体的な目的としては以下のようなものが挙げられます。

  • セッション情報の窃盗(セッションハイジャック): ユーザーのログインセッションを維持するためのクッキー情報を盗み出し、そのユーザーになりすましてWebサイトにアクセスします。これにより、ユーザーのプライベートな情報(アカウント情報、購入履歴など)を閲覧したり、ユーザーとして勝手に操作(買い物、設定変更など)したりすることが可能になります。
  • 個人情報の窃盗: Webページ上のフォームに入力された情報(クレジットカード情報、パスワード、メールアドレスなど)をJavaScriptで読み取り、攻撃者のサーバーへ送信します。
  • フィッシング詐欺: 偽のログインフォームを挿入したり、表示内容を改ざんしたりして、ユーザーを騙して認証情報や個人情報を入力させます。
  • マルウェア感染: ユーザーを攻撃者が用意した悪意のあるWebサイトへリダイレクトさせたり、ドライブバイダウンロード(Webサイトを閲覧しただけで自動的にマルウェアがダウンロード・実行される攻撃)を試みたりします。
  • Webサイトの改ざん: 表示されているWebページの内容を一時的に変更し、偽の情報を表示したり、不適切な画像を挿入したりします。
  • 不正なリダイレクト: ユーザーを本来とは異なる、攻撃者が管理するWebサイトへ強制的に移動させます。
  • クリックジャッキング: 透明なiframeなどで正規のページ上に攻撃者が用意した偽のページを重ね、ユーザーが正規のボタンをクリックしたつもりが、攻撃者の意図する操作(例えば「いいね!」を押させる、アカウント削除ボタンを押させるなど)をさせてしまいます。

これらの攻撃は、ユーザーに直接的な被害を与えるだけでなく、脆弱性のあるWebサイト提供者の信頼を失墜させ、ビジネスに大きな損害を与える可能性もあります。

3. XSS攻撃の仕組み

XSS攻撃は、Webアプリケーションがユーザーからの入力データを適切に処理せず、その入力がそのままWebページの一部として解釈・実行されてしまうという脆弱性を突くものです。

基本的な仕組みは以下の流れで説明できます。

  1. 脆弱性のあるWebサイト: Webサイトに、ユーザーからの入力内容をそのままHTMLとして出力してしまう、あるいはスクリプトとして実行可能な形で出力してしまう脆弱性がある。
  2. 攻撃者のスクリプト注入: 攻撃者は、脆弱な入力フィールド(例: 検索フォーム、コメント欄、プロフィール欄など)に、悪意のあるスクリプトコードを含んだデータを入力し、送信する。
  3. Webサイトの処理: Webサイトは、攻撃者からの入力データを受け取る。適切に処理・検証・エスケープが行われていない場合、その入力データがそのままWebページ生成の際に使用される。
  4. ユーザーのブラウザでの実行: 脆弱性のあるWebサイトを別のユーザーが閲覧する。ユーザーのブラウザは、Webサイトから送られてきたHTMLコードを解釈してページを表示するが、このHTMLコードには攻撃者が仕込んだスクリプトが含まれている。ブラウザはHTML内のスクリプトを正当なコードと誤認し、ユーザーのブラウザ上で実行してしまう。

例えば、検索機能に脆弱性がある場合を考えます。ユーザーが検索語を入力すると、その検索語がページ内に「検索結果: [検索語]」のように表示されるとします。

通常、検索語「セキュリティ」を入力すれば、「検索結果: セキュリティ」と表示されます。
しかし、もしこの機能にXSS脆弱性がある場合、攻撃者は検索語として「<script>alert('XSS')</script>」のような文字列を入力するかもしれません。

もしWebサイトがこの入力値を適切にエスケープせず、そのままHTMLに出力してしまうと、ページのHTMLコードは以下のようになる可能性があります。

“`html

検索結果:

“`

このHTMLをユーザーのブラウザが読み込むと、ブラウザは<script>タグを認識し、その中に書かれたJavaScriptコード alert('XSS') を実行してしまいます。これにより、ユーザーの画面に「XSS」というアラートダイアログが表示されます。これは単純な例ですが、このアラートを、前述したセッション情報の窃盗やフィッシングなどの悪意のあるスクリプトに置き換えることで、様々な攻撃が可能となります。

スクリプトは、<script>タグだけでなく、様々なHTMLタグの属性値(例: <img src="#" onerror="alert('XSS')">)、CSS(例: background: url("javascript:alert('XSS')");)、イベントハンドラ(例: <a href="#" onclick="alert('XSS')">リンク</a>)など、ブラウザがスクリプトとして解釈する可能性のある様々な箇所に埋め込むことができます。

重要な点は、XSS攻撃はサーバーそのものを直接攻撃するのではなく、脆弱性のあるWebサイトを「踏み台」として利用し、そのWebサイトを閲覧する「他のユーザー」のブラウザを攻撃対象とする点です。

4. XSS攻撃の種類

XSS攻撃はその特性や攻撃経路によっていくつかの種類に分類されます。主要なものとして、「格納型XSS」「反射型XSS」「DOM-based XSS」の3つがあります。

4.1 Stored XSS (格納型XSS)

仕組み:
格納型XSS(Stored XSS)は、攻撃者が悪意のあるスクリプトをWebアプリケーションのサーバー(データベース、ファイルシステムなど)に保存(格納)することで発生します。この保存されたコンテンツを他のユーザーが閲覧した際に、埋め込まれたスクリプトがそのユーザーのブラウザ上で実行されます。

攻撃の流れ:
1. 攻撃者が、脆弱性のあるWebサイトの投稿機能(掲示板、ブログのコメント、プロフィール欄など)を利用して、悪意のあるスクリプトを含むコンテンツをサーバーに送信します。
2. Webサイトは、このコンテンツをデータベースなどに保存します。この際、入力値の検証やエスケープが不十分であるため、スクリプトがそのままの形で保存されます。
3. 他のユーザーが、この保存されたコンテンツを含むページ(例えば掲示板のスレッド、ブログの記事、ユーザープロフィールページなど)を閲覧します。
4. Webサイトは、保存されていた攻撃者のコンテンツを含むHTMLページをユーザーのブラウザに送信します。
5. ユーザーのブラウザは、送信されたHTML内のスクリプトを解釈・実行します。

影響範囲:
格納型XSSは、一度脆弱なサーバーにスクリプトが保存されると、そのコンテンツを閲覧するすべてのユーザーが攻撃の対象となる可能性があります。そのため、影響範囲が広く、被害が拡大しやすいという特徴があります。

具体例:
* 掲示板への悪意のある書き込み
* ブログのコメント欄へのスクリプト埋め込み
* ユーザープロフィール欄へのスクリプト登録
* 商品レビューへのスクリプト投稿

ペイロード例:
“`html

この投稿は面白いですね!

“`
上記の例では、掲示板の投稿内容としてこのHTMLを送信することで、その投稿を見たユーザーのクッキーが攻撃者のサーバーに送られてしまう可能性があります。

4.2 Reflected XSS (反射型XSS)

仕組み:
反射型XSS(Reflected XSS)は、ユーザーからの入力データ(主にHTTPリクエストのパラメータ)に含まれるスクリプトが、Webアプリケーションのサーバー側で処理されずに、そのままHTTPレスポンスとしてユーザーのブラウザに「反射」されることで発生します。

攻撃の流れ:
1. 攻撃者が、脆弱性のあるWebサイトの機能(例: 検索フォーム、エラーメッセージ表示など)を悪用し、悪意のあるスクリプトを含むURLを作成します。例: http://vulnerable-site.com/search?query=<script>alert('XSS')</script>
2. 攻撃者は、この悪意のあるURLを、メールやSNSなどを通じてターゲットとなるユーザーに送りつけ、クリックするように誘導します(ソーシャルエンジニアリング)。
3. ユーザーがそのURLをクリックします。
4. ユーザーのブラウザは、攻撃者が作成したURLに含まれるスクリプトを、脆弱性のあるWebサイトにリクエストとして送信します。
5. 脆弱性のあるWebサイトは、リクエストパラメータに含まれるスクリプトを、エスケープせずにそのままHTMLレスポンスの一部として含めて返信します。
6. ユーザーのブラウザは、受け取ったHTMLを解釈・表示する過程で、含まれているスクリプトを実行してしまいます。

影響範囲:
反射型XSSは、悪意のあるURLをクリックした特定のユーザーのみが攻撃の対象となります。格納型XSSに比べて影響範囲は限定的ですが、特定のユーザーを標的とする標的型攻撃に用いられることがあります。

具体例:
* 検索結果ページに、検索語がそのまま表示される際の脆弱性
* エラーメッセージや確認ページに、入力値がそのまま表示される際の脆弱性
* パラメータによって表示内容が変わるページでの脆弱性

ペイロード例:
攻撃者は、ユーザーに以下のURLをクリックさせようとします。
http://vulnerable-site.com/search?query=%3Cscript%3Ealert%28document.cookie%29%3C/script%3E
%3C<%3E>%28(%29)のURLエンコーディングです。)

もしサイトが検索結果ページで、検索語をそのまま表示する機能に脆弱性がある場合、以下のようなHTMLが出力され、ユーザーのクッキーが表示されるアラートが表示される可能性があります。
“`html

検索結果:

“`

4.3 DOM-based XSS (DOM-Scripting XSS)

仕組み:
DOM-based XSS(DOM-Scripting XSS)は、クライアントサイドのJavaScriptが、WebページのDOM(Document Object Model)を操作する際に発生する脆弱性です。サーバーサイドの処理とは直接関係なく、ブラウザ上でJavaScriptが動的にHTMLコンテンツを生成・変更する際に、信頼できない外部データ(URLのフラグメント識別子 # 以降の部分や document.referrer など)を適切に処理しない場合に発生します。

攻撃の流れ:
1. 攻撃者が、脆弱性のあるページに対して、悪意のあるスクリプトを含むURLを作成します。このスクリプトは、URLのフラグメント識別子(#の後ろ)やクエリパラメータなどに埋め込まれます。例: http://vulnerable-site.com/page.html#<script>alert('XSS')</script>
2. 攻撃者は、このURLをターゲットとなるユーザーに送り、クリックするように誘導します。
3. ユーザーがそのURLをクリックします。
4. ユーザーのブラウザは、URLに従ってWebサイトにアクセスします。この際、フラグメント識別子 # 以降の部分は通常サーバーには送信されませんが、ブラウザ上のJavaScriptから location.hash などで参照可能です。
5. Webサイトから送られてきたJavaScriptコードがユーザーのブラウザ上で実行されます。このJavaScriptコードが、URLのフラグメント識別子などの外部データを取得し、それをそのまま innerHTMLdocument.write などを用いてDOMに書き込む処理を行っていると脆弱性が発生します。
6. DOMに書き込まれたスクリプトが、ブラウザによって解釈・実行されます。

影響範囲:
DOM-based XSSも、反射型XSSと同様に、悪意のあるURLをクリックした特定のユーザーのみが攻撃の対象となります。ただし、サーバーサイドのコードを改修しなくても、クライアントサイドのJavaScriptコードの修正だけで対策可能な場合があります。

具体例:
* URLフラグメントに基づいてページの一部を動的に変更するJavaScript
* document.writeinnerHTML などを用いて、信頼できないデータをHTMLとしてページに挿入するJavaScript
* URLパラメータに基づいてリダイレクト先などを決定するJavaScript

ペイロード例:
脆弱なJavaScriptコードが以下のようなものであるとします。
javascript
// URLのフラグメント識別子を取得し、そのままページに書き込む
var userProvidedData = location.hash.substring(1); // 例: URLが ...#<script>alert('XSS')</script> なら、この変数に "<script>alert('XSS')</script>" が入る
document.getElementById('content').innerHTML = "あなたは " + userProvidedData + " を参照しています。";
攻撃者は以下のURLをユーザーに送ります。
http://vulnerable-site.com/page.html#<script>alert('XSS')</script>
(もちろん、実際の攻撃ではURLエンコーディングされます: http://vulnerable-site.com/page.html#%3Cscript%3Ealert%28%27XSS%27%29%3C/script%3E

ユーザーがこのURLにアクセスすると、上記のJavaScriptが実行され、location.hash から取得したスクリプトが innerHTML によってDOMに挿入され、実行されてしまいます。

4.4 その他のXSS関連手法

上記3つが主要なXSS攻撃の種類ですが、関連する概念や派生的な手法も存在します。

  • Self-XSS: ユーザー自身が自分のブラウザの開発者ツールなどを利用して、自身のブラウザ上でスクリプトを実行してしまう攻撃です。これはWebサイトの脆弱性というよりは、ソーシャルエンジニアリングによってユーザーを騙し、ユーザー自身に攻撃を行わせる手法です。例えば、「このコードをコンソールに入力すれば、無料で特典が得られる!」などと偽ってユーザーを誘導します。サイト運営者からすると直接的な技術的脆弱性ではないため対策は難しいですが、注意喚起などでユーザーを啓蒙することが重要です。
  • Universal XSS (UXSS): Webブラウザ自体の脆弱性を悪用して、任意のWebサイト上でスクリプトを実行させる攻撃です。これは非常に深刻であり、特定のWebサイトだけでなく、ブラウザを使っている全てのサイトに影響する可能性があります。ブラウザベンダーは常にこれらの脆弱性を修正するために努力しており、ユーザーは常にブラウザを最新の状態に保つことが最大の対策となります。
  • Mutation XSS (mXSS): ブラウザのHTMLパース処理の微妙な違いや、サニタイズ処理の不備を突く高度なXSS手法です。一度無害化されたと思われたHTMLコードが、ブラウザによってDOMツリーが構築される過程や、JavaScriptによってDOMが変更される過程で、再び悪意のあるスクリプトとして解釈されてしまうことがあります。

5. XSS攻撃の影響と被害

XSS攻撃が成功した場合、攻撃者、Webサイト提供者、Webサイト利用者(ユーザー)それぞれに深刻な影響と被害が発生します。

5.1 ユーザーへの影響と被害

XSS攻撃の最も直接的な被害を受けるのは、脆弱なWebサイトを閲覧したユーザーです。

  • アカウント乗っ取り: セッションクッキーが盗まれることにより、ユーザーになりすまされてアカウントを不正に利用されます。オンラインバンキング、ECサイト、SNSなど、様々なアカウントが危険に晒されます。
  • 個人情報・機密情報の漏洩: Webサイトのフォームに入力した情報(ID、パスワード、クレジットカード番号、住所、電話番号など)が攻撃者に盗まれます。
  • 金銭的被害: アカウント乗っ取りにより、不正に商品を購入されたり、送金されたりする可能性があります。
  • フィッシング詐欺: 偽の入力フォームを表示させられ、正規サイトと信じて情報を入力してしまい、その情報が悪用されます。
  • マルウェア感染: 不正なWebサイトへ誘導され、ウイルスやランサムウェアなどのマルウェアに感染させられる可能性があります。
  • 誹謗中傷・偽情報の拡散: ユーザーのアカウントを使って、不適切な内容が投稿されたり、友人にスパムメッセージが送られたりする可能性があります。

5.2 Webサイト提供者への影響と被害

XSS脆弱性を放置しているWebサイト提供者側も、深刻な被害を被ります。

  • 信用失墜: ユーザーの個人情報漏洩や不正利用が発生すると、企業の社会的信用は大きく低下します。顧客離れや新規顧客獲得の困難につながります。
  • 損害賠償リスク: ユーザーからの損害賠償請求や、法的措置の対象となる可能性があります。
  • ビジネスの停止: 攻撃が深刻な場合、Webサイトやサービスを一時的に停止せざるを得なくなることがあります。これは収益の減少に直結します。
  • 復旧コスト: 攻撃によって被害が発生した場合、原因究明、システムの改修、顧客対応などに多大なコストがかかります。
  • ブランドイメージの低下: セキュリティ対策が不十分な企業というネガティブなイメージが定着し、ブランド価値が低下します。

このように、XSS攻撃は単なる技術的な問題ではなく、ユーザー、企業双方にとって現実的で深刻な脅威なのです。

6. XSS攻撃の対策

XSS攻撃への対策は、主にWebアプリケーションを開発・運用する側が行うべき技術的な対策と、Webサービスを利用するユーザー側ができる対策に分けられます。最も効果的なのは、開発者側が脆弱性を徹底的に排除することです。

6.1 開発者側での対策

開発者側でのXSS対策は、「入力値の検証 (Input Validation)」「出力時のエスケープ処理 (Output Encoding)」が基本中の基本です。加えて、様々なHTTPレスポンスヘッダーやCookie属性を活用することで、攻撃を受けた際の影響を軽減することも可能です。

6.1.1 入力値の検証 (Input Validation)

ユーザーからの入力データが、想定される形式や範囲、文字種であるかを確認する処理です。不正なデータや、攻撃に使われうる特殊な文字が含まれていないかをチェックします。

  • 許可リスト方式 (Whitelist): 許可する文字、形式、パターンを厳密に定義し、それに合致しない入力は全て拒否または無害化する方式です。例えば、氏名入力欄であれば漢字、ひらがな、カタカナ、特定の記号のみを許可する、といった具体的なルールを定めます。XSS対策においては、特定のHTMLタグやJavaScriptコードを含まないことをチェックするのではなく、許可される安全な文字だけを受け入れる、という考え方になります。
  • 拒否リスト方式 (Blacklist): 危険な文字やパターン(例: <script>, onerror, javascript:)をリストアップし、それらが含まれていないかをチェックする方式です。しかし、攻撃者は様々な手法で検出を回避しようとするため、拒否リスト方式は不完全になりがちで推奨されません。巧妙なエンコーディング(例: HTMLエンティティ、Unicodeエスケープなど)や、複数の属性を組み合わせた攻撃など、拒否リストに含まれていないパターンで攻撃されるリスクがあります。

入力検証は、データの整合性を保つためにも重要ですが、単体ではXSSを完全に防ぐことは難しいため、出力時のエスケープ処理と組み合わせて行うことが必須です。

6.1.2 出力時のエスケープ処理 (Output Encoding) – 最も重要!

Webアプリケーションがユーザーからの入力データやデータベースから取得したデータをWebページとしてブラウザに出力する際、そのデータの利用されるコンテキスト(HTML本文、属性値、JavaScript、CSS、URLなど)に応じて、適切なエスケープ処理を施すことが、XSS対策の最も重要かつ基本的な手法です。

エスケープ処理とは、特殊な意味を持つ文字(例: <, >, &, ", ')を、その文字として表示されるように無害な文字列に置き換えることです。これにより、ブラウザがそれらの文字をHTMLタグやスクリプトのコードの一部ではなく、単なる文字列として解釈するようになります。

HTMLコンテキストでのエスケープ:
ユーザー入力がHTMLの本文や属性値として出力される場合、HTMLエンティティに変換します。

  • <&lt;
  • >&gt;
  • &&amp;
  • "&quot;
  • '&#39; または &apos;

例(PHP):
ユーザー入力を受け取る変数 $input があるとして、それをHTMLに出力する場合。
“`php
// 脆弱な例: そのまま出力
echo “

あなたの入力: ” . $_GET[‘input’] . “

“;

// 安全な例: htmlspecialchars関数でエスケープ
echo “

あなたの入力: ” . htmlspecialchars($_GET[‘input’], ENT_QUOTES, ‘UTF-8’) . “

“;
``htmlspecialchars関数は、上記の特殊文字をHTMLエンティティに変換します。ENT_QUOTES` フラグは、シングルクォーテーションとダブルクォーテーションの両方をエスケープするために重要です。文字エンコーディングも適切に指定します(通常はUTF-8)。

JavaScriptコンテキストでのエスケープ:
ユーザー入力がJavaScriptコード内に文字列として埋め込まれる場合、JavaScriptの文字列リテラルとして適切にエスケープします。特に、シングルクォーテーション '、ダブルクォーテーション "、バックスラッシュ \、改行文字などをエスケープする必要があります。

例(PHPでJavaScriptを生成する場合):
“`php
// 脆弱な例: JS文字列内にそのまま出力
//
// 入力が ‘ OR ‘1’=’1 なら -> となり意図しないコード実行の可能性

// 安全な例: json_encodeやJavaScriptエスケープ関数を利用
echo ““;

// あるいは、フレームワークやライブラリのJSエスケープ機能を利用
``json_encode` 関数は、PHPの値をJavaScriptのJSON形式の文字列に変換する際に、JavaScript文字列として安全にエスケープしてくれます。

URLコンテキストでのエスケープ:
ユーザー入力がURLの一部として使用される場合(例: リダイレクトURL、リンクのパラメータなど)、URLエンコーディング(パーセントエンコーディング)を施します。

例(PHP):
“`php
// 脆弱な例: URLパラメータにそのまま出力
// <a href=”http://example.com/?page=<?php echo $_GET[‘page’]; ?>”>リンク
// 入力が “page.html%23” なら -> リンク‘;
``urlencode関数は、URLで特別な意味を持つ文字(例:&,=,?,/,#`, 空白文字など)をパーセントエンコーディングに変換します。

コンテキストに応じたエスケープの重要性:
エスケープ処理は、出力先のコンテキストによって手法が異なります。HTMLエスケープ、JavaScriptエスケープ、URLエスケープなどを混同して使用すると、逆に脆弱性を生み出す可能性があります。常に「このユーザー入力は最終的にブラウザのどの部分(HTMLのどこ、JSのどこ、URLのどこ)で使われるか?」を意識し、適切なエスケープ処理を選択する必要があります。

多くのWebフレームワークには、ビューテンプレートエンジンに自動エスケープ機能が組み込まれています。例えば、Rails, Django, Laravel, Vue.js, Reactなどの多くのフレームワークは、テンプレート変数を出力する際にデフォルトでHTMLエスケープを行います。これらの機能を活用することで、エスケープ漏れを防ぐことができますが、明示的にエスケープを無効にする機能(例: Railsの html_safe、Djangoの safe フィルター)を使用する際は、入力内容が完全に信頼できるものであることを確認する必要があります。

6.1.3 HTTPレスポンスヘッダーによる対策

ブラウザのセキュリティ機能を活用するために、HTTPレスポンスヘッダーを設定することも有効な対策です。

  • Content-Security-Policy (CSP):
    CSPは、Webページで読み込み・実行を許可するコンテンツの種類や送信元を制限するHTTPヘッダーです。これにより、万が一XSS脆弱性があったとしても、攻撃者が仕込んだスクリプトが実行されるリスクを低減できます。

    主なCSPディレクティブ:
    * default-src: デフォルトの許可元。
    * script-src: JavaScriptの読み込み元。インラインスクリプト (<script>...コード...</script>) やイベントハンドラ属性 (onclick="...") を禁止する設定が強力なXSS対策になります('unsafe-inline' を指定しない)。
    * style-src: CSSの読み込み元。
    * img-src: 画像の読み込み元。
    * connect-src: XMLHTTPRequest, WebSocketなどの接続先。
    * frame-src / frame-ancestors: frame/iframeの読み込み元や、そのページをiframeとして埋め込めるサイトを制限。クリックジャッキング対策にも有効。

    CSPの例:
    Content-Security-Policy: default-src 'self'; script-src 'self' https://trusted-cdn.com; style-src 'self'; img-src 'self' data:; object-src 'none'; base-uri 'self'; form-action 'self'; frame-ancestors 'self';
    この例では、ほとんどのコンテンツを同じオリジン ('self') からのみ許可し、スクリプトは同じオリジンか https://trusted-cdn.com からのみ許可、<object>, <embed>, <applet> タグを禁止、<base> タグの使用を制限、フォームの送信先を同じオリジンに制限、iframeとしての埋め込みを同じオリジンからのみ許可しています。
    特に重要なのは script-src ディレクティブです。'unsafe-inline''unsafe-eval' を使用しない設定は、インラインスクリプトや eval() によるコード実行をブロックするため、多くのXSS攻撃手法を無効化できます。ただし、既存のアプリケーションでインラインスクリプトを多用している場合は、コードの書き換えが必要になります。
    より柔軟な対策として、インラインスクリプトやスタイルタグに一意のランダムな値(nonce)を付与し、CSPヘッダーでも同じ nonce を指定することで、特定のインラインスクリプトのみを許可する手法もあります。

  • X-Content-Type-Options: nosniff:
    ブラウザがMIMEタイプを推測して、HTMLファイルをJavaScriptファイルとして実行したりする挙動を防ぎます。これもXSS攻撃の一種であるMIMEスニッフィング攻撃への対策となります。常に設定しておくと良いでしょう。
    X-Content-Type-Options: nosniff

  • X-XSS-Protection (非推奨):
    一部の古いブラウザに搭載されているXSSフィルターを有効にするヘッダーです。ほとんどのモダンブラウザではCSPが優先されるため、CSPを設定している場合は不要ですが、古いブラウザへの対応として残っている場合があります。設定する場合は 1; mode=block とすることが推奨されます。
    X-XSS-Protection: 1; mode=block
    ただし、このヘッダー自体が脆弱性を引き起こす可能性も過去に指摘されており、現在ではCSPが推奨される主要な対策です。

6.1.4 Cookieの属性設定

セッションハイジャックを防ぐ上で、Cookieの属性設定も非常に重要です。

  • HttpOnly フラグ:
    このフラグを設定すると、JavaScriptから document.cookie を使ってそのクッキーにアクセスすることが禁止されます。これにより、たとえXSS攻撃によって任意のJavaScriptが実行されても、セッションクッキーを盗み出すことを防ぐことができます。セッション管理に使われるクッキーには必ず設定すべき属性です。
    Set-Cookie: JSESSIONID=...; HttpOnly; Secure; SameSite=Lax

  • Secure フラグ:
    このフラグを設定すると、そのクッキーはHTTPS接続でのみブラウザからサーバーに送信されるようになります。中間者攻撃(MITM)によって、盗聴されたHTTP通信からクッキーが漏洩するのを防ぎます。サイト全体をHTTPS化し、重要なクッキーにはSecureフラグを設定することが強く推奨されます。

  • SameSite 属性:
    この属性は、クロスサイトリクエスト時にブラウザがクッキーを送信するかどうかを制御します。CSRF対策として導入されましたが、反射型XSSや一部の格納型XSSにおいても、攻撃者が別のサイトから脆弱なサイトへのリクエスト時にクッキーを送信できなくなるため、攻撃の影響を軽減する効果があります。Lax または Strict の設定が推奨されます。

6.1.5 信頼できないHTML/JavaScriptの扱い

ユーザーがHTMLコンテンツを投稿できるような機能(例: リッチテキストエディタ)がある場合、単なるエスケープだけでは不十分です。悪意のあるタグや属性(例: <script>, onerror, javascript:, style 属性など)を取り除く、いわゆるサニタイズ (Sanitization)処理が必要になります。

  • サニタイズライブラリの利用:
    HTMLのパースとサニタイズを行うための専門のライブラリ(例: DOMPurify (JS), sanitize-html (Node.js), HTML Purifier (PHP) など)を使用します。これらのライブラリは、安全なタグや属性の許可リストに基づいて不要・危険な要素を除去します。
    ただし、サニタイズは実装が難しく、完全に安全な出力を保証するのは困難な場合があります。可能であれば、そもそもユーザーにHTMLの投稿を許可せず、Markdownなどのより安全な記法に限定することを検討しましょう。

  • innerHTML の使用を避ける:
    JavaScriptでDOMを操作する際、ユーザー入力を含む文字列を element.innerHTML = userProvidedString; のように代入すると、文字列がHTMLとして解釈されてしまうため非常に危険です。単にテキストとして表示したいだけであれば、HTMLタグとして解釈されない element.textContent = userProvidedString;element.innerText = userProvidedString; を使用するべきです。

6.1.6 セキュリティライブラリ/フレームワークの利用

多くのモダンなWebフレームワークやライブラリは、セキュリティ対策(特にXSS対策としての自動エスケープ)が考慮されて設計されています。これらのフレームワークを適切に使用することで、開発者が意識しなくても基本的な対策が施されるため、脆弱性の混入を防ぎやすくなります。

例えば、React, Vue.js, Angularなどの主要なJavaScriptフレームワークは、テンプレート内に変数を表示する際にデフォルトでHTMLエスケープを行います。ただし、意図的にHTMLを挿入したい場合は、エスケープを解除する特別な記法(例: Reactの dangerouslySetInnerHTML)を使用する必要があり、その際には入力内容の安全性を十分に確認する責任が開発者にあります。

6.1.7 定期的なセキュリティ診断とコードレビュー

開発段階だけでなく、運用中も定期的にWebサイトやアプリケーションのセキュリティ診断(脆弱性スキャン、ペネトレーションテストなど)を実施することが重要です。また、他の開発者によるコードレビューで、セキュリティ上の問題がないかをチェックする体制を構築することも有効です。これにより、見落としていた脆弱性を早期に発見できます。

6.2 ユーザー側での対策

Webサービスを利用するユーザー側でも、XSS攻撃の被害に遭わないためにできることがあります。

  • 怪しいリンクをクリックしない:
    メールやSNS、掲示板などで送られてきた不審なURLは、安易にクリックしないようにしましょう。特に、短縮URLやURLの文字列が正規のサイトとは異なるように見える場合は要注意です。反射型XSS攻撃は、ユーザーに悪意のあるURLをクリックさせることで成立するため、この行動が最も基本的な防御策となります。
  • Webブラウザ、OS、ソフトウェアを常に最新の状態に保つ:
    WebブラウザやOS、そしてJavaやFlash Player(現在では利用機会が減っていますが)、PDFリーダーなどの関連ソフトウェアには、XSSを含む様々な脆弱性が発見されることがあります。ベンダーはこれらの脆弱性を修正したアップデートを配布していますので、常に最新版に更新しておくことが重要です。これにより、ブラウザ自体の脆弱性(UXSS)による攻撃を防ぐことができます。
  • セキュリティソフトウェア(アンチウイルスソフトなど)の利用:
    アンチウイルスソフトやファイアウォールなどのセキュリティソフトウェアを導入し、常に最新の状態に保ちましょう。これにより、悪意のあるサイトへのアクセスをブロックしたり、マルウェアの実行を防いだりすることができます。
  • 重要な情報の入力に注意する:
    ログイン情報やクレジットカード情報などの重要な個人情報を入力する際は、そのWebサイトが正規のものであるか(URLや証明書を確認)、そしてHTTPS接続(URLが https:// から始まり、ブラウザのアドレスバーに鍵マークが表示されているか)で保護されているかを確認しましょう。XSS攻撃によって偽のフォームが表示されている可能性も考慮し、不審な点がないか注意深く確認することが大切です。
  • ブラウザのセキュリティ設定を活用する:
    多くのWebブラウザには、フィッシングサイトやマルウェアサイトへのアクセスを警告・ブロックする機能が備わっています。これらのセキュリティ設定を有効にして利用しましょう。
  • 開発者ツールで不審なコードを実行しない:
    SNSや怪しいWebサイトで、「このコードをブラウザの開発者コンソールの入力して実行すれば裏技が使える」といった誘導があった場合、絶対にコードを実行しないでください。これはSelf-XSSと呼ばれる手法で、ユーザー自身に自分のアカウントに対する不正な操作(フレンドへのスパム送信、情報抜き取りなど)を行わせることを目的としています。

7. XSS対策の実践例 (コードレベル)

前述のエスケープ処理について、主要なプログラミング言語やフレームワークでの具体的な実装例をいくつか示します。

7.1 PHP

PHPでは htmlspecialchars() 関数が最も基本的なHTMLエスケープに使われます。

“`php

alert(“XSS”)‘;

// HTMLとして出力する場合
echo ‘

入力値(エスケープ前): ‘ . $user_input . ‘

‘;
echo ‘

入力値(エスケープ後): ‘ . htmlspecialchars($user_input, ENT_QUOTES, ‘UTF-8’) . ‘

‘;

// JavaScript文字列として変数に代入する場合(JSONエンコード)
echo ‘‘;

// URLパラメータとして出力する場合
$url_param = ‘page.html#‘;
echo ‘リンク‘;
?>

出力例:html

入力値(エスケープ前):

入力値(エスケープ後): <script>alert("XSS")</script>

リンク
``htmlspecialchars()はHTMLエンティティに、json_encode()はJavaScript文字列として安全なUnicodeエスケープなどに、urlencode()` はURLエンコーディングに変換していることがわかります。

7.2 Python (Django)

Djangoフレームワークのテンプレートシステムは、デフォルトで変数出力時に自動的にHTMLエスケープを行います。

“`python

Django views.py

from django.shortcuts import render

def my_view(request):
user_input = request.GET.get(‘data’, ‘‘)
context = {‘user_input’: user_input}
return render(request, ‘my_template.html’, context)
“`

“`html
{# Django my_template.html #}

入力値(エスケープ前): {{ user_input }}

{# デフォルトでエスケープされる #}

{# 明示的にエスケープを解除する場合(注意が必要!) #}

入力値(エスケープ解除): {{ user_input|safe }}

``{{ user_input }}はデフォルトでdjango.utils.html.escapeと同等のエスケープが行われます。|safeフィルターを使用するとエスケープが無効になります。JavaScript内での使用には|escapejs` フィルターが用意されています。

7.3 Node.js (Express + Pug/Jade)

Pug (旧 Jade) テンプレートエンジンは、変数出力時にデフォルトでHTMLエスケープを行います。

“`javascript
// Express app.js
const express = require(‘express’);
const app = express();

app.set(‘view engine’, ‘pug’);

app.get(‘/’, (req, res) => {
const user_input = req.query.data || ‘‘;
res.render(‘index’, { user_input: user_input });
});

app.listen(3000, () => console.log(‘App listening on port 3000’));
“`

“`pug
// Pug index.pug
p
| 入力値(エスケープ前): #{user_input} // デフォルトでエスケープされる
p
| 入力値(エスケープ解除): !{user_input} // エスケープを解除する場合(注意が必要!)

script.
var message = “#{user_input}”; // PugではJS文字列コンテキストのエスケープ機能が弱い場合がある
// より安全には、JSON.stringifyを使用するか、textContentを使う
// var message = JSON.parse(“!{ JSON.stringify(user_input) }”);
alert(message);
``
Pugでは#{variable}がデフォルトでHTMLエスケープ、!{variable}` がエスケープ無しで出力されます。JavaScript内での変数埋め込みは注意が必要です。安全のためにはJSONエンコードを使うなど、出力コンテキストに応じたより厳密な処理が必要です。

7.4 JavaScript (React/Vue.js)

ReactやVue.jsのようなフロントエンドフレームワークは、テンプレート内でのデータバインディングにおいて、デフォルトでHTMLエスケープを行います。

“`javascript
// React (JSX)
function MyComponent({ userInput }) {
// デフォルトでエスケープされる
return (

入力値(エスケープ前): {userInput}

  {/* 明示的にHTMLとして出力する場合(注意が必要!) */}
  <div dangerouslySetInnerHTML={{ __html: userInput }}></div>
</div>

);
}

// Vue.js テンプレート

// DOM操作する場合(Vanilla JS)
const userInput = ‘‘;
const element = document.getElementById(‘result’);

// 危険な例: innerHTMLを使用するとスクリプトが実行される
// element.innerHTML = userInput;

// 安全な例: textContentを使用すると単なるテキストとして表示される
element.textContent = userInput;
``
Reactの{variable}や Vueの{{ variable }}は自動的にHTMLエスケープされます。ReactのdangerouslySetInnerHTMLや Vueのv-htmlはエスケープを解除するため、これらを使用する際は入力内容が完全に信頼できるものであることを確認するか、事前にサニタイズ処理を施す必要があります。JavaScriptでDOM操作を行う場合も、textContentinnerText` を使うのが安全です。

これらの例からわかるように、使用する言語やフレームワークによってエスケープの方法やデフォルトの挙動は異なります。各環境での適切なエスケープ方法を理解し、常に適用することが開発者には求められます。

8. 発展的なトピック

8.1 クライアントサイドフレームワークとXSS対策

React, Vue.js, Angularなどのクライアントサイドフレームワーク(SPA開発でよく使われる)は、DOMの構築や更新をJavaScriptで行います。前述のようにテンプレート内の変数出力はデフォルトでエスケープされますが、DOMを直接操作する場合(特にライブラリを組み合わせる場合など)や、サードパーティ製のコンポーネントを使用する場合には注意が必要です。ユーザー入力に基づいてHTMLやJavaScriptを動的に生成・挿入するような処理を行う際には、フレームワークの提供する安全なAPIを使用するか、適切なエスケープやサニタイズを忘れないようにする必要があります。また、URLフラグメントやAPIからのデータなど、外部から取得したデータを扱う際もDOM-based XSSのリスクに注意が必要です。

8.2 Content Security Policy (CSP) のさらなる活用

CSPは非常に強力なセキュリティヘッダーですが、その設定は複雑になることもあります。特に大規模なアプリケーションや、多くの外部リソース(CDN、広告ネットワークなど)を利用している場合は、CSPの設定ミスによってWebサイトの機能が損なわれるリスクもあります。

CSPには Content-Security-Policy-Report-Only というモードがあり、これを使うとポリシー違反が発生してもコンテンツのブロックは行われず、指定したURLに違反レポートを送信するだけになります。このモードで運用しながらポリシーを調整し、問題がないことを確認した上で強制モード (Content-Security-Policy) に切り替えるという運用が可能です。

CSPを導入することで、従来のXSS対策(エスケープ)の漏れによるリスクを大きく軽減することができます。

8.3 セキュリティ診断や脆弱性報告プログラム

自社で開発・運用しているWebサイトにXSS脆弱性がないかを継続的にチェックすることは非常に重要です。

  • 自動脆弱性スキャナー: OWASP ZAP, Burp Suiteなどのツールを使用して、Webサイトの自動スキャンを行います。これにより、既知のパターンに基づく基本的な脆弱性を効率的に発見できます。
  • 手動ペネトレーションテスト: 専門のセキュリティエンジニアに依頼して、手動での詳細な脆弱性診断を行ってもらいます。自動ツールでは見つけにくい、アプリケーションのロジックに依存した複雑な脆弱性(DOM-based XSSなど)を発見できる可能性があります。
  • バグバウンティプログラム (Bug Bounty): 外部のセキュリティ研究者に対して、脆弱性を発見して報告してもらうプログラムです。報奨金を提供することで、より多くの目によるチェックを促すことができます。

これらの取り組みを通じて、潜在的なXSS脆弱性を発見し、修正していくことが、安全なWebサイト運用には不可欠です。

9. まとめ

XSS(クロスサイトスクリプティング)攻撃は、Webアプリケーションの脆弱性を悪用し、ユーザーのブラウザ上で悪意のあるスクリプトを実行させる古くから存在する深刻なサイバー攻撃です。格納型、反射型、DOM-basedといった種類があり、それぞれ攻撃経路や影響範囲が異なりますが、その目的は共通してユーザーのセッションハイジャック、個人情報窃盗、フィッシングなど多岐にわたります。これらの攻撃は、ユーザーに直接的な金銭的・プライバシーの被害をもたらすだけでなく、Webサイト提供者の信用失墜やビジネスへの深刻なダメージにもつながります。

XSS攻撃の基本的な仕組みは、Webアプリケーションがユーザーからの入力データを適切に検証・エスケープせず、そのデータがそのままブラウザでスクリプトとして解釈・実行されてしまうことにあります。

この脅威からWebサイトとユーザーを守るためには、開発者側が主導して以下の対策を徹底することが最も重要です。

  • 入力値の検証 (Input Validation): 許可リスト方式で、安全な入力のみを受け付ける。
  • 出力時のエスケープ処理 (Output Encoding): 最も重要。HTML本文、属性値、JavaScript、URLなど、出力先のコンテキストに応じて適切なエスケープ処理(HTMLエンティティ化、URLエンコーディング、JavaScriptエスケープなど)を行う。
  • HTTPレスポンスヘッダーによる対策: Content-Security-Policy (CSP) を設定し、許可するコンテンツの種類や送信元を制限する。X-Content-Type-Options: nosniff も設定する。
  • Cookieの属性設定: セッションクッキーに HttpOnly フラグを設定し、JavaScriptからのアクセスを禁止する。HTTPS環境では Secure フラグ、必要に応じて SameSite 属性も設定する。
  • 信頼できないHTML/JavaScriptの扱い: ユーザーからのHTML入力は、専門のサニタイズライブラリを使用するか、Markdownなどの安全な記法に限定する。JavaScriptでのDOM操作時には innerHTML を避け、 textContent を優先する。
  • セキュリティライブラリ/フレームワークの活用: 自動エスケープ機能を持つモダンなフレームワークを適切に使用する。
  • 定期的なセキュリティ診断とコードレビュー: 脆弱性の早期発見に努める。

一方、Webサービスを利用するユーザー側も、怪しいリンクをクリックしない、ブラウザやソフトウェアを常に最新に保つ、セキュリティソフトウェアを利用する、重要な情報の入力に注意するといった基本的なセキュリティ意識を持つことが、自身の身を守るために不可欠です。

XSS攻撃への対策は、一度行えば終わりというものではありません。新たな攻撃手法が登場したり、Webアプリケーションの機能が追加・変更されるたびに新たな脆弱性が生まれる可能性があります。開発者は継続的にセキュリティ情報を収集し、最新の対策技術を取り入れ、コードの安全性に気を配る必要があります。ユーザーも、不審な挙動には注意を払い、セキュリティに関する情報を正しく理解することが大切です。

Webを取り巻く環境は常に変化しています。開発者とユーザーがそれぞれの立場でセキュリティ意識を高め、協力して対策を講じることで、より安全なインターネット環境を築いていくことができるでしょう。

コメントする

メールアドレスが公開されることはありません。 が付いている欄は必須項目です

上部へスクロール