F5 BIG-IP Application Security Manager(旧TrafficShield)
アプリケーションの攻撃パターン - 5) クロスサイト・スクリプティング
クロスサイト・スクリプティング(以下「XSS」)は、掲示板や入力確認画面などで、ユーザが入力した内容をそのまま表示するWebアプリケーションが原因となります。攻撃者が悪意ある任意のスクリプトを仕込み、そのスクリプトがユーザのWebブラウザ上で実行されることで、Cookieの盗難などの被害を起こすのがXSSです。攻撃者が用意したWebサイトとXSS脆弱性のあるWebサイトをまたがって発生するため、「クロスサイト」の名で呼ばれています。特徴的なのは、XSS脆弱性を抱えたWebサイトを利用して、実際の被害はエンドユーザ側で発生するところです。以下に、具体的に一例をご紹介します。
図5-1
まず、攻撃者は差出人をxxx銀行と偽って、無差別にメールを配信します。例えば、このメールはこのようなものです。
(図5-1)
大抵は、この銀行を利用しているユーザが思わずクリックしてしまうような誘い文句とともにリンクが貼り付けられています。見た目上は分かりませんが、このリンクに実はユーザIDとパスワードを盗み取って攻撃者のサイトに送信するようなスクリプトが挿入されているのです。
では、このリンクをクリックした後の流れを見ていきましょう。
リンクをクリックしたユーザのWebブラウザには、xxx銀行のWebページが表示されます。Webブラウザの画面を見ているだけでは特に何の違和感も感じられません。また、このようなサイトではhttpsによる通信がなされていますが、証明書も確かにxxx銀行のものが使われています。
表示されたWebページは以下のようなログインページです。
では、このリンクをクリックした後の流れを見ていきましょう。
リンクをクリックしたユーザのWebブラウザには、xxx銀行のWebページが表示されます。Webブラウザの画面を見ているだけでは特に何の違和感も感じられません。また、このようなサイトではhttpsによる通信がなされていますが、証明書も確かにxxx銀行のものが使われています。
表示されたWebページは以下のようなログインページです。
図5-2
しかし、このサイトにはXSSの脆弱性があり、メールのリンクをたどると、ユーザが入力したIDとパスワードが実際には別の攻撃者が用意したサイトに送信するように細工されています。OKボタンを押下すると攻撃者が用意したサイトにIDとパスワードを送信します。
攻撃者が用意したサイトではIDとパスワードを記録し、実際のxxx銀行のサイトにIDとパスワードを送信します。
この結果ユーザはIDとパスワードが取得されたことを気づく可能性は少なく、悪用されてもその理由が判明できない場合がほとんどのケースです。
攻撃者が用意したサイトではIDとパスワードを記録し、実際のxxx銀行のサイトにIDとパスワードを送信します。
この結果ユーザはIDとパスワードが取得されたことを気づく可能性は少なく、悪用されてもその理由が判明できない場合がほとんどのケースです。
BIG-IP製品、FirePass、ARX、WANJet およびF5は、F5 Networks, Inc の商標、または登録商標です。
本文中に記載されている製品名、および社名はそれぞれ各社の商標、または登録商標です。 製品仕様は予告なしに変更される場合があります。
本文中に記載されている製品名、および社名はそれぞれ各社の商標、または登録商標です。 製品仕様は予告なしに変更される場合があります。