BLOG

2019/10/16

【クロスサイトスクリプティング】初心者でもわかる簡単 AWS 用語解説

【目次】

1. 概要
2. AWSとは?
3. クロスサイトスクリプティングとは?初心者にもわかりやすく解説
  a) クロスサイトスクリプティングの影響とは
  b) AWSでの対応方法
4. まとめ

 

  1. 1. 概要

    多くのSNSが一般的なサービスとなっている昨今、ひとつの脅威となっているのが「クロスサイトスクリプティング(XSS)」と呼ばれる攻撃です。
    クロスサイトスクリプティングへの対策は多くのWebサービスで必須となっているため、今後はその名前と特性をチェックしておくことが求められるでしょう。
    またクロスサイトスクリプティングはAWS WAFなどでも対策ができるので、AWSを導入している場合は検討してみるといいでしょう。
    AWSの特徴も改めて確認して、クロスサイトスクリプティングへの適切な対策を行なっていきましょう。

     
     

  2. 2. AWSとは?

    AWSとは、大手ECサイトであるAmazon.comが提供するクラウドコンピューティングサービスです。
    IT関連の業務を的確にサポートしてくれるシステムがたくさんあるので、既存の仕事の効率化や改善のきっかけにできるでしょう。
    近年は多くの業種がITのシステムを取り入れており、AWSのようなクラウドサービスは重宝されています。
    現時点でITに特化した業種でなくても、今後さらにIT系のシステムが一般化していく流れは加速すると考えられるため、AWSのような専門のサポートサービスは要チェックとなるでしょう。

    AWSは複数のサービスが利用できるため、事業におけるあらゆる面を充実させることができます。
    例えばデータ格納用のストレージを用意したり、安全にWebを使うためのセキュリティを確保したりといった使い方ができるので、幅広く活用することが可能です。
    AWSは他にもクラウドを活かした柔軟なサービスを提供しているため、応用していくことで事業の足りない部分を補強していくことができます。
    AWSの利用は将来的な面を考慮した上でも、十分検討に値することでしょう。

    さらにAWSは利用者に優しい利益還元を行うことがあるため、お得な利用が可能であるという点も魅力です。
    2017年7月の段階で60回以上サービスの値下げを行い、中には90%以上の価格差をつけたものもあります。
    既に世界規模で利用している企業は広がっているため、今後も新サービスの開始や利用金額の割引などが行われていくでしょう。

    AWSは基本的に従量課金制なので、使った分だけ支払いが発生するスタイルです。
    つまりは余計な容量にお金を使わずに済むので、リスクヘッジを取りながら各サービスを利用できるでしょう。
    「どのくらい費用が必要なのかわからない」「できるだけ安価にサービスを取り入れたい」といった場合にも、AWSは強い味方になってくれるでしょう。

    そしてAWSは、クロスサイトスクリプティングのような脅威に対しても適切なサポートを行なってくれます。
    自社サービスにおいて脆弱性への対策ができていない、もっと運用負担を下げながら対策を行いたいといった場合には、AWSは候補に上がるでしょう。

     

  3. 3. クロスサイトスクリプティングとは?初心者にもわかりやすく解説

    クロスサイトスクリプティングとは、Webアプリケーションの脆弱性を利用して行われるサイバー攻撃の一種です。
    XSSと表記されるこちらの攻撃は、安全なインターネットの利用を阻害し、サービスの利用者や提供者に多くの問題を与えるため、最近では大きな問題となっています。
    IT事業者にとってはクロスサイトスクリプティングへの対策が大きな課題となり、健全なサービスを提供するためのひとつの壁になるでしょう。

    クロスサイトスクリプティングは、お問い合わせフォームや掲示板など、Webアプリケーションにデータを入力する機能に対して、不正なスクリプトを取り込ませる形で行われるのが特徴となっています。
    脆弱性のあるサイトと攻撃側のサイトを横断的に利用することからXSSの名がつけられたという歴史的経緯があり、今もWebサービスではポピュラーな脅威として知られています。
    スクリプトが付け加えられたリンクなどをクリックすると、セキュリティが整っていない別のWebサイトに飛ばされたり、そこからポップアップが展開されたり、偽の入力フォームに情報を入れるよう要求されたりと、様々な攻撃例があります。
    特定の誰かに向けられた攻撃ではなく、サービスを利用しているすべてのユーザーにとっての脅威となり、ときには被害が大きくなることもあります。

    クロスサイトスクリプティングの不正なスクリプトを挿入できてしまう環境を放置していると、将来的にも多くの被害が発生する可能性があります。
    つまりはクロスサイトスクリプティングの被害を拡大する原因は、対策ができていないサイトの存在にあるのです。
    ユーザーが参加できるようなWebコンテンツを提供している企業は、優先的にクロスサイトスクリプティングの対策を行なっていくことが必要となっています。

     

    1. a) クロスサイトスクリプティングの影響とは

      クロスサイトスクリプティングの不正スクリプトが実行されると、Webコンテンツの利用者に以下のような影響が発生してしまう可能性が出てきます。

      ・クッキーの情報を取得することによる不正なアクセス、個人を装ったセッションハイジャック
      ・HTMLタグを悪用した入力フォームへの誘導、個人情報の収集
      ・偽サイトへアクセスさせることによるフィッシング詐欺

      これらの攻撃がコンピューターに実行されると、個人情報の流出、マルウェアへの感染などといった具体的な問題につながってしまいます。
      金銭的な被害が発生する可能性もあるので、Webコンテンツ管理者としては早急にクロスサイトスクリプティングへの対策を行うべきだといえるでしょう。

      クロスサイトスクリプティングに対応するためには、Webコンテンツに入力できる値に制限を設け、そもそも不正なスクリプトを記載できないようにすることもひとつの手段です。
      文字種に制限を入れたり、入力値の長さを制限したりするバリデーションを行うことで、ある程度クロスサイトスクリプティングが入り込む余地をなくすことができます。
      またサニタイジングで特殊文字の置き換えを行なって、スクリプトが実行されないように無害化することも対策になります。
      特定の文字列を置き換えて表示するように設定すれば、悪意ある第三者が想定した形でのスクリプトの利用を防げるでしょう。
      しかしあくまで外部からの攻撃自体は放置した状態となっているので、攻撃自体を完全に遮断することが求められます。

    2.  

    3. b) AWSでの対応方法

      AWSが提供するAWS WAFを利用すれば、クロスサイトスクリプティングによる脅威に対抗することができます。
      AWS WAFとはアプリケーションを的確に保護するために設計されたウェブアプリケーションファイアウォールで、さまざまなカスタマイズ機能とルールの定義によってWebコンテンツごとに必要な対策を提供してくれるのが特徴。
      AWS WAFを導入することでクロスサイトスクリプティングはもちろん、その他の脅威に対しても広く対処ができるため、Webコンテンツに安全性を付与するのならチェックが欠かせないシステムになるでしょう。

      AWS WAFではクロスサイトスクリプティングの一致条件にフィルタを指定して、スクリプトが含まれている可能性がある部分を特定して検査ができます。
      このフィルタは複数追加できるので、様々なパターンにおけるクロスサイトスクリプティングを見つけ出し、対応することができるのです。
      必要なだけフィルタを追加することで、クロスサイトスクリプティングへの対処を行うことができます。
      簡単に対応が可能なので、AWS WAFの利用はクロスサイトスクリプティングのためにも検討することがおすすめです。

     

  4. 4.まとめ

    クロスサイトスクリプティングは多くのWebコンテンツに脅威を与える存在なので、適切な対応が今後も欠かせません。
    AWSを軸にクロスサイトスクリプティングへの対応方法を考えて、この機会に万全なセキュリティ体制を整えていきましょう。

 

※下記のブログもご覧ください。
【ALBってなに?】初心者でもわかる簡単 AWS 用語解説

【ALBとELBの違い】初心者でもわかる簡単 AWS 用語解説

【OSI参照モデルとは?】初心者でもわかる簡単 AWS 用語解説