XSS が依然として重要な理由について ~ Microsoft 解説 | ScanNetSecurity
2025.10.24(金)

XSS が依然として重要な理由について ~ Microsoft 解説

 マイクロソフトは9月15日、クロスサイトスクリプティング(XSS)が依然として重要な理由についての解説記事を同社ブログで発表した。

調査・レポート・白書・ガイドライン 調査・ホワイトペーパー
数字で見るXSS(2024年7月~2025年7月)
数字で見るXSS(2024年7月~2025年7月) 全 1 枚 拡大写真

 マイクロソフトは9月15日、クロスサイトスクリプティング(XSS)が依然として重要な理由についての解説記事を同社ブログで発表した。

 マイクロソフトでは、従来のポータルから新しく展開されたシングルページ アプリまで、サービス全体でXSSレポートを継続的に受け取っており、ブラウザのセキュリティ、コンテンツセキュリティポリシー(CSP)、デフォルトのセキュアライブラリは進歩しているにもかかわらず、依然としてXSSは永続的な脅威ベクトルであるとしている。

 20年前から脆弱性クラスとして知られているXSSは、既知の最も古いWeb脆弱性の1つであるにもかかわらず、マイクロソフトのセキュリティ事例では依然として主要な脅威となっており、2025年半ばの時点で、Microsoft Security Response Center(MSRC)は2024年1月以降だけで970件以上のXSSケースを緩和している。

 2024年7月から2025年7月までの数字を見たところ、重要または緊急であるMSRCケースのうち15%がXSSで、265件のXSSケースのうち263 件を重大と評価し、2件を緊急と評価している。XSS報奨金として912,300ドルを支払い、トークンの盗難やゼロクリック攻撃などの影響の大きいケースに対して、単一の報奨金の最高額となる20,000ドルを授与している。

 MSRCでは、顧客の保護を優先するために、データ分類と悪用条件を組み合わせたマトリックスを使用してXSSの脆弱性を評価し、深刻度を判断することで、最も影響力のある課題にベストな優先順位を設定している。

 深刻度が「緊急」なものの例として「セッショントークンや機密性の高いCookieを侵害するゼロクリックXSS」を、「重要」なものとして「XSSはユーザーの操作を必要とするが、セッショントークンを公開する」ものを、「中/低」なものとして「機密データは漏えいしない、またはセルフXSSを必要とする公開されたページでのXSS」を挙げている。また、深刻度に影響を与える他の要因として、ユーザー操作、攻撃者の前提条件、環境条件などを挙げている。

《ScanNetSecurity》

関連記事

この記事の写真

/

特集

PageTop

アクセスランキング

  1. 関与していた元社員とは未だ連絡取れず ~ 京都市内で保険申込書写し 計 632 枚拾得

    関与していた元社員とは未だ連絡取れず ~ 京都市内で保険申込書写し 計 632 枚拾得

  2. 「漏えい情報を復号できないため報告を要しない(個人情報保護委員会)」ランサムウェアの前に全データを暗号化するソリューションで保険代理店の顧客情報守られる

    「漏えい情報を復号できないため報告を要しない(個人情報保護委員会)」ランサムウェアの前に全データを暗号化するソリューションで保険代理店の顧客情報守られる

  3. 廃棄委託したノートパソコンが短時間ネット接続 ~ 監視ツールが検知

    廃棄委託したノートパソコンが短時間ネット接続 ~ 監視ツールが検知

  4. アスクル Web サイトがランサムウェア感染、受注出荷業務が停止

    アスクル Web サイトがランサムウェア感染、受注出荷業務が停止

  5. 大量に営業機密等を不正取得 ~ 不正競争防止法違反容疑でエレコム元従業員を刑事告訴

    大量に営業機密等を不正取得 ~ 不正競争防止法違反容疑でエレコム元従業員を刑事告訴

ランキングをもっと見る
PageTop