迫り来るクロスサイトスクリプティングのわな

　ネットワークセキュリティ企業Netcraftによると、セキュリティホールに対処していない銀行や企業のウェブサイトは、フィッシング攻撃の被害に遭う可能性が高いという。

　Netcraftが米国時間14日にサイトに掲示した報告によると、クロスサイトスクリプティングの脆弱性を利用して、悪質なコードをターゲット企業のウェブページやURLに挿入するオンライン犯罪が増加しているという。攻撃者は、クロスサイトスクリプティングの脆弱性を利用して、疑うことを知らないユーザーをフィッシング詐欺の被害に遭わせることができる。

　「従来のフィッシングサイトは嘘っぽく見えるものが多く、エンドユーザーでも識別できる場合が多かった」とNetcraftのインターネットサービス開発者Paul Muttonは述べる。「だがクロスサイトスクリプティングを利用した場合、企業のURLを使い続けられることから、攻撃者はユーザーを簡単にだますことができる。でも、そこには攻撃者によって追加されたコンテンツがある」（Mutton）

　クロスサイトスクリプティングの脆弱性を悪用することにより、攻撃者はウェブページにさまざまなコードを潜り込ませることができる。なかでも問題が大きいのはJavaScriptコードだ。攻撃者は、JavaScriptで作成したプログラムを企業のウェブページに挿入することが出来てしまう。

　先日も、Citizens Financial Groupのユーザーがこの攻撃の犠牲になったと、Netcraftは述べている。このケースでは、ユーザーは、手元に届いたフィッシングメールに記載されたリンクを通して、Citizens Financial Groupのサイトに悪質なスクリプトを含んでアクセスするように仕向けられていた。そして、ユーザーは偽のウェブサイトへと誘導され、個人情報の入力を求められた。

　NetcraftのMuttonは、企業が自社のサーバアプリケーションを点検してクロスサイトスクリプティングの脆弱性に対処しない限り、今後もこのような攻撃は増えるだろうと予想する。点検作業自体は複雑なものではなく、時間がかかるだけだ、とMuttonは続けた。

　また、Muttonは、フィッシング攻撃でターゲットにされることが多い銀行は、このクロスサイトスクリプティング問題に対してほとんど対策をとっていない点も指摘した。

　「クロスサイトスクリプティングは、犯罪の温床となっている。銀行が対策に着手しないのは大きな問題だ」（Mutton）

　クロスサイトスクリプティングは、オンラインオークションサイトのeBayなどが標的とされたフィッシングの手口とは異なると、Muttonは説明する。eBayなどを狙ったフィッシングの手口は、正規ウェブサイトを閲覧しようとしたユーザーを悪質なウェブサイトにリダイレクトするというものだった。これとは対照的に、クロスサイトスクリプティングの場合、攻撃者はパスワードを入力させるための偽のログインページを、まったく正当な企業のウェブページに追加することができる。

　また、クロスサイトスクリプティングの脆弱性を悪用すると、攻撃者は ユーザーのPCに保存されたCookieを簡単に盗み取ることもできるという。Cookieは、ウェブサイトにログインするためのパスワードやインターネット利用情報などの個人情報を含んでいることが多い。

　Muttonによると、この脆弱性を悪用した攻撃の多くは、金融機関を標的にしているという。この傾向は今後も継続するとMuttonは見ている。