体験で知るサイバーセキュリティー

恐怖!掲示板へのアクセスでパソコン乗っ取り(前編) クロスサイトスクリプティングなどを組み合わせた巧妙な手口を体験

記事保存

日経BizGate会員の方のみご利用になれます。保存した記事はスマホやタブレットでもご覧いただけます。

XSSで他人になりすまして掲示板に攻撃用のスクリプトを書き込む

 まず、北原氏が見せてくれたのは、掲示板サイトにあるXSSの脆弱性を使って、ジョンというユーザーに、攻撃者がなりすます手口である。

 攻撃者が行いたいのは、掲示板サイトへアクセスしてきたビクティムのパソコンに、不正なプログラムをダウンロードさせるスクリプトを掲示板サイトへ紛れ込ませることである。それを一般のユーザーになりすまして行うことで、攻撃者を特定されにくくすることを狙っている。

 「誰でも自由に登録できる掲示板であっても、誰が攻撃しているのかをより分かりにくくするために、攻撃者がジョンになりすますという想定にしました」(北原氏)

 ここでXSSの脆弱性について簡単に説明しておく。

 ウエブブラウザーは、ウエブページを読み出すときにジャバスクリプト(JavaScript)といったスクリプト言語で書かれたプログラムを実行する機能を標準で備えている。XSS攻撃では、攻撃者が作成した攻撃用のスクリプトを、標的となるサイトのウエブページに忍び込ませ、ページにアクセスしてきたパソコンのブラウザーなどに実行させる。「XSSの脆弱性がある」とは、このXSS攻撃を許すようなプログラムの欠陥があるという意味で、サイトの管理者としての権限がないはずの攻撃者が、攻撃用のスクリプトをサイトに仕込むことができる状態を指す。

 攻撃者が攻撃用に作ったいかにも不審なサイトであれば誰もが注意してアクセスしないだろうが、XSSの脆弱性を悪用することで、一般の掲示板サイト、企業の問い合わせサイト、電子商取引サイトなどに攻撃用のスクリプトを忍ばせることが可能になる。被害者の数を増やしたり、攻撃されたということ自体を気づきにくくしたりするときに使う手口だ。

 このXSSの脆弱性は本来、一般のサイトに存在してはいけないものであることはいうまでもない。掲示板サイトなどの運営者は、正式運用を始める前に、しっかりとチェックして、XSSの脆弱性があれば解消しておくのが基本である。脆弱性の解消を怠れば攻撃者の攻撃に加担することになる。

 XSSの脆弱性をご存知の方は「ずいぶん昔からある脆弱性で、最近はなくなったのでは?」と思っているかもしれない。しかしラックが2017年に実施したウエブサイト診断によれば[注1]、2017年に検出した問題点の第1位がXSSである。割合は減少傾向にあるものの、過去5年間ずっと1位の座にある。

[注1]『ラック セキュリティ診断レポート 2018陽春』P6より。なおWebアプリケーション診断とプラットフォーム診断を合わせて「Webサイト診断」と本文では記載した。

 さて、ジョンへのなりすましであるが、北原氏の説明は以下のようなものだ。

 「まず、攻撃者『アタッカー(attacker)』は、ジョンが掲示板サイトへのログインに使っている『クッキー』という情報を取得します。クッキーは、掲示板サイトへのログインに成功したことを示す『入館証明書』のようなものだと考えるとよいでしょう。ログインのID(ユーザー名)、セッション情報、訪問回数、最終訪問日時などが記録されています」

 掲示板サイトにXSSの脆弱性があれば他人のクッキーの取得は簡単にできる。攻撃者が掲示板のメッセージといっしょに攻撃用スクリプトを書き込むだけだ。掲示板にアクセスしてきたユーザーにはメッセージが見えるだけだが、ユーザーのブラウザーは攻撃用スクリプトを実行するようになる。

閲覧履歴

    クリッピングした記事

    会員登録後、気になる記事をクリッピングできます。