Cross Site Scripting（XSS）

■■セキュリティ用語擬人化プロジェクト Vol.35■■

不正のトライアングル三兄弟（Vol.25参照）が得意とする必殺技で、「響きがかっこいい」との理由で連発しているのでタチが悪い。
長男が得意とするReflected XSSは、掌から発する黒い光で包んだターゲットを意のままに操り、自分のテリトリー内に呼び込んで直接攻撃を行う。次男のStored XSSは、気づかれないように空間を歪める罠を発生させ、知らずに触れて異空間に迷い込んでしまったターゲットを攻撃する。どちらもWAF（Vol.02参照）が攻撃の予兆を見つけるのを得意としており、見つけ次第周囲に警告を発するのだが、三男が得意とするDOM XSSは、ターゲットを特殊なウィルスに感染させ、WAFに気づかれることなくターゲット自身が自傷行為や周囲に攻撃を仕掛けるようになってしまう。
機密性・完全性・可用性の三女神（Vol.09参照）は、この攻撃を防ぐための聖衣サニタイズを民衆に授けたが、ちょっと身に着けるのが面倒という人が無防備で外出し、未だ被害がなくならない。

「くらえ！アナザーディメンショ・・・・」「兄ちゃんまた勝手に名前変えてる！」

クロスサイトスクリプティング（XSS）は、代表的なサイバー攻撃として知られており、過去にはTwitterのタイムライン上やYoutubeのコメント欄などにも脆弱性を突いた罠が仕掛けられたこともありました。XSSを悪用されると個人情報の搾取やウェブサイトの改竄など様々な被害に繋がるため注意が必要です。
XSSはその手法により反射型（Reflected XSS）、持続型（Stored XSS ）、DOM型（DOM Based XSS）の3つに大きく分けられます。XSSによる被害が広く知られるようになるにつれ近年では被害件数は減少してはいますが、CMSのプラグイン等、気付きにくい・対策しにくい脆弱性での被害が発生するなど、まだまだ根絶はできていません。基本的な対策としては入力値の制限、サニタイジングなどをしっかりと行うことですが、WAF（Web Application Firewall）によるチェックで通信内容をチェックしてブロックすることも可能です。レンタルサーバ等でもWAFのサービスを提供しているところも多いので、それらの利用も効果的です。