マイクロソフトは9月15日、クロスサイトスクリプティング(XSS)が依然として重要な理由についての解説記事を同社ブログで発表した。
マイクロソフトでは、従来のポータルから新しく展開されたシングルページ アプリまで、サービス全体でXSSレポートを継続的に受け取っており、ブラウザのセキュリティ、コンテンツセキュリティポリシー(CSP)、デフォルトのセキュアライブラリは進歩しているにもかかわらず、依然としてXSSは永続的な脅威ベクトルであるとしている。
20年前から脆弱性クラスとして知られているXSSは、既知の最も古いWeb脆弱性の1つであるにもかかわらず、マイクロソフトのセキュリティ事例では依然として主要な脅威となっており、2025年半ばの時点で、Microsoft Security Response Center(MSRC)は2024年1月以降だけで970件以上のXSSケースを緩和している。
2024年7月から2025年7月までの数字を見たところ、重要または緊急であるMSRCケースのうち15%がXSSで、265件のXSSケースのうち263 件を重大と評価し、2件を緊急と評価している。XSS報奨金として912,300ドルを支払い、トークンの盗難やゼロクリック攻撃などの影響の大きいケースに対して、単一の報奨金の最高額となる20,000ドルを授与している。
MSRCでは、顧客の保護を優先するために、データ分類と悪用条件を組み合わせたマトリックスを使用してXSSの脆弱性を評価し、深刻度を判断することで、最も影響力のある課題にベストな優先順位を設定している。
深刻度が「緊急」なものの例として「セッショントークンや機密性の高いCookieを侵害するゼロクリックXSS」を、「重要」なものとして「XSSはユーザーの操作を必要とするが、セッショントークンを公開する」ものを、「中/低」なものとして「機密データは漏えいしない、またはセルフXSSを必要とする公開されたページでのXSS」を挙げている。また、深刻度に影響を与える他の要因として、ユーザー操作、攻撃者の前提条件、環境条件などを挙げている。
