XSS が依然として重要な理由について ~ Microsoft 解説 | ScanNetSecurity
2025.10.03(金)

XSS が依然として重要な理由について ~ Microsoft 解説

 マイクロソフトは9月15日、クロスサイトスクリプティング(XSS)が依然として重要な理由についての解説記事を同社ブログで発表した。

調査・レポート・白書・ガイドライン 調査・ホワイトペーパー
数字で見るXSS(2024年7月~2025年7月)
数字で見るXSS(2024年7月~2025年7月) 全 1 枚 拡大写真

 マイクロソフトは9月15日、クロスサイトスクリプティング(XSS)が依然として重要な理由についての解説記事を同社ブログで発表した。

 マイクロソフトでは、従来のポータルから新しく展開されたシングルページ アプリまで、サービス全体でXSSレポートを継続的に受け取っており、ブラウザのセキュリティ、コンテンツセキュリティポリシー(CSP)、デフォルトのセキュアライブラリは進歩しているにもかかわらず、依然としてXSSは永続的な脅威ベクトルであるとしている。

 20年前から脆弱性クラスとして知られているXSSは、既知の最も古いWeb脆弱性の1つであるにもかかわらず、マイクロソフトのセキュリティ事例では依然として主要な脅威となっており、2025年半ばの時点で、Microsoft Security Response Center(MSRC)は2024年1月以降だけで970件以上のXSSケースを緩和している。

 2024年7月から2025年7月までの数字を見たところ、重要または緊急であるMSRCケースのうち15%がXSSで、265件のXSSケースのうち263 件を重大と評価し、2件を緊急と評価している。XSS報奨金として912,300ドルを支払い、トークンの盗難やゼロクリック攻撃などの影響の大きいケースに対して、単一の報奨金の最高額となる20,000ドルを授与している。

 MSRCでは、顧客の保護を優先するために、データ分類と悪用条件を組み合わせたマトリックスを使用してXSSの脆弱性を評価し、深刻度を判断することで、最も影響力のある課題にベストな優先順位を設定している。

 深刻度が「緊急」なものの例として「セッショントークンや機密性の高いCookieを侵害するゼロクリックXSS」を、「重要」なものとして「XSSはユーザーの操作を必要とするが、セッショントークンを公開する」ものを、「中/低」なものとして「機密データは漏えいしない、またはセルフXSSを必要とする公開されたページでのXSS」を挙げている。また、深刻度に影響を与える他の要因として、ユーザー操作、攻撃者の前提条件、環境条件などを挙げている。

《ScanNetSecurity》

関連記事

この記事の写真

/

特集

PageTop

アクセスランキング

  1. 業務目的外でパソコンを利用中に詐欺サイトに接続 ~ 委託事業者パソナの従業員

    業務目的外でパソコンを利用中に詐欺サイトに接続 ~ 委託事業者パソナの従業員

  2. ガートナー、2025 年版の日本におけるセキュリティのハイプ・サイクル発表

    ガートナー、2025 年版の日本におけるセキュリティのハイプ・サイクル発表

  3. 諭旨解雇処分 ~ 電気通信大学 准教授 共同研究先の企業に秘密を漏えい

    諭旨解雇処分 ~ 電気通信大学 准教授 共同研究先の企業に秘密を漏えい

  4. Microsoft が土壇場で譲歩 欧州 Windows 10 ユーザーだけに猶予措置

    Microsoft が土壇場で譲歩 欧州 Windows 10 ユーザーだけに猶予措置

  5. アサヒグループホールディングスにサイバー攻撃、現時点で復旧の目処立たず

    アサヒグループホールディングスにサイバー攻撃、現時点で復旧の目処立たず

ランキングをもっと見る
PageTop