クロスサイトスクリプティング (XSS)
SNSや掲示板など、ユーザーが送信した文字がそのまま表示されるサイトに対して、ハッカーが悪意のある「JavaScript」などのプログラムを書き込み、他のユーザーに見せて実行させるサイバー攻撃手法。
クロスサイトスクリプティング(XSS)とは
「Cross Site Scripting」の略で(CSSと被るためXSSと表記されます)、Webサイトのセキュリティの隙(脆弱性)を突いたサイバー攻撃です。
例えば掲示板やSNSのように「ユーザーが書き込んだ内容がそのまま他の人の画面にも表示される」サイトで、ハッカーが「悪意のあるプログラムコード(JavaScriptなど)」を普通のコメントのフリをして書き込みます。そして、罠を知らずにそのページを見た一般ユーザーのパソコンの中で、勝手にその悪いプログラムが実行されてしまう攻撃です。
💡 例え話(どんな被害にあう?)
ハッカーが掲示板に、目に見えない罠(スクリプト)を設定します。 あなた(一般ユーザー)が「お、面白い掲示板だな」とページを開いた瞬間、裏側で勝手に以下のことが行われます。
- あなたの銀行のログイン情報(クッキーというデータ)が、ハッカーのサイトに隠れて自動送信される(ログインIDとパスワードが盗まれる)。
- 「私はバカです!」という恥ずかしいツイートを、あなたのTwitterアカウントで勝手に投稿させられる。
📌 サイト運営者側が防ぐ責任がある
この攻撃の恐ろしいのは、「正規の(普段使っている)サイトを見ているだけ」でユーザーが被害に遭うことです。そのため、Webシステムを作るエンジニアは、「入力欄に『<script>』などのプログラムを示す怪しい記号が入力されたら、絶対に発動しないように無効化(サニタイジング処理)する」という対策を行う義務があります。
関連する用語 (セキュリティ)
全7件を見るゼロトラスト (Zero Trust)
「社内ネットワークは安全である」という従来の前提を捨て、「全ての通信(誰であろうと)を信用せず、常に毎回検証する」という現代のセキュリティの考え方。
DDoS攻撃 (ディードス攻撃)
世界中の無数のパソコン(ウイルス感染した端末など)を乗っ取り、標的のWebサイトに一斉に超大量のアクセスを送りつけてサーバーの処理を追いつかせなくし、サイトをダウンさせるサイバー攻撃。
WAF (Web Application Firewall)
「ワフ」と読む。悪意のあるハッカーからの不正な攻撃や侵入を防ぐために、Webサイト(アプリケーション)の手前に設置する強力な「防御壁」。
多要素認証 / MFA (Multi-Factor Authentication)
パスワードだけでなく、「スマホに届くSMSコード」や「指紋」など、異なる2つ以上の要素を組み合わせて本人確認を行う強力な認証方式。
SQLインジェクション
お問い合わせフォームや検索窓の入力欄などに、悪意のある「データベース操作命令(SQL)」を『注入(インジェクション)』し、パスワードなどの非公開データを無理やり引き出したり消去したりするサイバー攻撃。
SSO (シングルサインオン)
1回のログイン認証(ID/パスワード入力)だけで、連携している複数の異なるシステムやクラウドサービスをパスワードなしで利用できる仕組み。