クロスサイトスクリプティングの被害内容と事例

security_2509

クロスサイトスクリプティングがどのような被害をもたらすのか、事例とともに解説いたします。

クロスサイトスクリプティングの被害内容

セッションハイジャック

セッションハイジャックとは、Webアプリケーションなどでユーザーを識別する情報、セッションID(IDやパスワード情報など)のCookie情報をネットワーク上で盗聴されたり、規則性から類推されることで、攻撃者が利用者になりすます攻撃手法のことです。

Cookie情報とは、 Webサイト側がユーザーのアカウント情報や個人情報をブラウザに保持させるものです。ログインページを例とすると、一度ログインすれば再度ログインする際に、ログインページをスキップすることができます。

主な被害内容

  • 不正な送金、利用者が意図しない商品購入、利用者が意図しない退会処理等
  • 各種設定の不正な変更(管理者画面、パスワード等)、掲示板への不適切な書き込み等
  • 非公開の個人情報を不正閲覧、Webメールを不正閲覧、コミュニティ会員専用の掲示板を不正閲覧等

Webサイトの改ざん

Webサイト改ざんとは、Webサイト内のコンテンツやシステムが、攻撃者によって意図しない状態に変更されてしまうことです。

Webサイトの改ざんは、サービスに影響をもたらすだけでなく、ユーザーに被害を与えることになります。Webサイトを改ざんすることで、マルウェアをダウンロードするサイトへ一般の利用者を誘導することができます。

マルウェアとは?ウイルスとの違い感染対策について

2016.02.11

主な被害内容

  • Webサービスの停止、及び、復旧作業(ECサイトや集客できているサイトが被害に遭えば、その期間の損害は図りしれない)
  • 訪問者のパソコンにマルウェアをダウンロードさせ、個人情報やカード情報を盗む
  • 訪問者のパソコンにマルウェアをダウンロードさせ、パソコンを乗っ取る

フィッシング

フィッシングとは、正当なメールやWebサイトを装い、個人情報、暗証番号等を取得する行為のことです。

Webサイト自体をフィッシングサイトに改ざんする。または、Webサイトを改ざんし、訪問すると自動的にフィッシングサイトに転送する攻撃手法です。

主な被害内容

  • Webサイトの一部を改ざんし、あらかじめ用意した本物そっくりの偽サイトにユーザーを誘導させ、クレジットカード番号や口座番号などを入力するよう促し、入力された情報を盗み取ります。
  • 電子メールのリンクからフィッシングサイトに誘導し、そこで個人情報を入力させる

クロスサイトスクリプティングの被害事例

YouTubeの被害事例

2010年7月、動画共有サイトの米YouTubeを狙った攻撃が発生しました。

被害としては、下図のような「ニュース速報:ジャスティン・ビーバーが交通事故で死亡」といったデマのポップアップが表示されたり、他のWebサイトにリダイレクト、コメントが表示されないなどの被害が発生しました。

security_287

原因は、YouTubeのコメントシステムに存在するクロスサイトスクリプティングの脆弱性が悪用されたことによるものでした。

YouTubeが利用しているコメントアプリケーションの出力データの暗号化処理に問題があり、cookie情報の不正取得や悪意あるJavaScriptコードを仕込むことが可能であったとみられています。攻撃は、Googleにより2時間ほどで対処されたと報じられました。

Twitterの被害事例

2010年9月21日、Twitterの公式クライアント・アプリケーション「TweetDeck」が何者かに攻撃されました。

ユーザーのアカウントが遠隔的にハイジャックされ、訳の分からないリツイートを大量に投稿したりといった被害が発生しました。

security_289

クロスサイトスクリプティングが原因で、JavaScriptコードがプレーンテキストとして投稿され、その投稿がユーザーのブラウザで実行可能な状態となっていました。セキュリティ会社のKaspersky Labは、最大で50万人に影響が出た可能性があると発表しています。

この攻撃は、オーストラリアに住む17歳の少年が実行したもので、コンピュータを乗っ取ったり、情報を盗もうとすものではなく、セキュリティホールを利用して何ができるのか見てみようという好奇心により発生したものでした。

株式会社KADOKAWAの被害事例

2014年1月、株式会社KADOKAWAのオフィシャルサイトが改ざんされていることが判明しました。改ざんされていた可能性のある期間は「2014年1月7日00時49分~2014年1月8日13時07分」の間とみられています。

Webサイト改ざんが行われていた期間中に、脆弱性を修正していないWindows環境で閲覧した場合、PCにマルウェアが組み込まれ、個人情報が盗まれる状態だったとして謝罪しています。

security_151

関連記事

クロスサイトスクリプティングとは | 仕組みと攻撃手法

2018.01.29

クロスサイトスクリプティングの対策方法

2016.03.16
security_2509