大手検索サイトに見るクロスサイトスクリプティングの脆弱性の実態

　Webサイトは、その運用上自ホストのリソースや、その中に蓄積されている情報を保護しなければいけないのは当然である。そして、Webを閲覧するユーザや顧客に危害を与えないよう安全を確保するのはそれ以上に当たり前の大前提である。このWeb閲覧者の安全性に関わりの深い問題に、クロスサイトスクリプティングの脆弱性問題がある。

　大手の９検索サイトのクロスサイトスクリプティングの脆弱性問題についての実態を調査し、またこれらサイトの問題への対応状況について検討した結果、安全管理について本来責任のある人々が、一部は問題を自覚しながらも、不十分な安全管理体制しかとれていないという実態が改めて明らかになった。

[クロスサイトスクリプティングの脆弱性とは]

　まず「クロスサイトスクリプティングの脆弱性」とは何かということを簡単に説明する。クロスサイトスクリプティングの脆弱性は、ユーザなどの入力に応じて表示するページの内容を変化させるような、例えば掲示板のようなcgiページなどに見られる問題である。セキュリティのことをよく考えていない掲示板では、書き込み者が入力したタグがそのまま掲示板の表示として出力され、その結果掲示板全体が意図されたように表示されなくなったり、閲覧者に対して有害なScript等が動作したりする。もう少し一般化してクロスサイトスクリプティングの脆弱性を説明すると、他のページなどから、特殊な文字列を含むURLで誘導されて来たWeb閲覧者が、Web制作者が想定していない効果をもたらすタグを含んだページをブラウザに表示されてしまい、何らかの害を被ってしまうような問題だと言える。

　日本でもWebサイトに関する最初のインシデントとして記録されているのは、1997年に総務省の掲示板にタグが書き込まれ、その掲示板を閲覧しようすると、オウム真理教の音楽が外部サイトから読み込まれて鳴るようになったという事件であり、このようにクロスサイトスクリプティングの脆弱性は古くから存在する問題である。最近この「クロスサイトスクリプティングの脆弱性」が改めて問題視されるようになったのは、この脆弱性によって引き起こされる最悪の事態の一つとして、Web閲覧者の個人情報やWebサービス契約に関する特権を悪意ある第三者に奪われる危険性があることがわかってきたからである。

　他サイトの（悪意ある）特殊な文字列をURLに含んだリンクなどによって誘導されてきたWeb閲覧者のブラウザ上で、問題となるWebサイトから読み出された（Web制作者が想定していない）悪意あるJavaScriptが起動させられることがある。そのJavaScriptは閲覧者のブラウザに蓄積されている該当WebについてのCookieを読み出すことが可能で、読み出したその情報を第三者に送付することもできる。Cookieの情報を盗まれると、そのCookieで管理している個人情報を不当に取得されたり、あるいは該当Webサイトでのユーザの（有料サービスを利用するなどの）権利を奪われてしまったりする。

[調査内容]

　ユーザの入力に従って表示されるページ内容が異なる典型的なWebシステムとして、検索ページをあげることができるだろう。ユーザがキーワードなどの情報を与えてやると、それに応じて検索結果などが動的に生成されて表示される。大手検索ページはまたポータルサイトを目指して作られてきた経緯から多額の資金を投入されて高い技術力を誇っていると考えられ、また一方ではこのようなサイトは初心者も利用することも多く、これらユーザは十分保護されるべきだと考えられる。

office
office@ukky.net
http://www.office.ac/

詳しくはScan Daily EXpressおよびScan 本誌をご覧下さい）
http://vagabond.co.jp/vv/m-sdex.htm
http://vagabond.co.jp/vv/m-sc.htm