IT用語集 2023/10/16

クロスサイトスクリプティング（XSS）とは？わかりやすく10分で解説

コラム

はじめに

インターネットが日常生活の一部となったいま、サイバーセキュリティは個人・企業を問わず欠かせないテーマです。なかでも、Webアプリケーションの脆弱性を突く攻撃は被害が表面化しやすく、対策の優先度も高くなります。この記事では、その代表例のひとつであるXSS（クロスサイトスクリプティング）について、仕組み・種類・被害・対策を整理します。

サイバーセキュリティの重要性

サイバーセキュリティは、個人情報や企業の機密情報を守るための基盤です。オンラインショッピングやネットバンキングなど、個人の生活に近いサービスほど「一度の事故が大きな損失」になりやすく、被害の影響範囲も広がります。だからこそ、脅威の仕組みを理解し、予防策を積み重ねていくことが重要です。

XSSが課題になりやすい理由

XSSは、Webページ上で意図しないスクリプトが実行されることで成立します。入力フォーム、検索、コメント欄、プロフィール、管理画面の表示など、「ユーザー入力をもとに画面を生成する」機能は多くのWebサービスで当たり前に存在します。つまり、対策が不十分だと、規模を問わずどのWebサイトでも起こり得る問題です。

XSS（Cross-Site Scripting）とは？

Webアプリケーションのセキュリティを語るうえで、XSSは頻出テーマです。ここでは基本概念を整理します。

XSSのイメージ

定義と基本的な概念

XSS（クロスサイトスクリプティング）とは、Webアプリケーションの出力処理の不備などを利用して、攻撃者が用意したスクリプト（主にJavaScript）をページ内で実行させる攻撃です。実行されるのは「攻撃者のブラウザ」ではなく、ページを閲覧した利用者のブラウザである点が重要です。

攻撃が成立すると、たとえば次のようなことが起こり得ます（すべてが必ず起きるわけではありません）。

表示内容の改ざん（偽の案内やフォームの表示）
利用者の操作の乗っ取り（意図しない送信・設定変更の誘導）
ログイン状態の悪用（セッションを利用した不正操作）

XSSの背景

Webが動的になり、ユーザー入力を反映する機能が増えるほど、XSSのリスクは高まりやすくなります。近年はフレームワークやテンプレートの自動エスケープで防げるケースも増えていますが、DOM操作・外部スクリプト・複雑な画面生成など「例外」も多く、実装や運用の隙を突かれることがあります。

クロスサイトスクリプティングの種類

XSSにはいくつかの代表的なパターンがあります。発生箇所と対策の勘所が少しずつ異なるため、分類として押さえておくと理解が進みます。

反射型XSS（Reflected XSS）

反射型XSSは、リクエストの一部（例：URLパラメータ、フォーム入力）をサーバーがそのままレスポンスに反映してしまうことで成立します。利用者が「細工されたリンク」を踏むことがトリガーになりやすく、メールやSNSなどでの誘導と相性が良い点が特徴です。

保存型XSS（Stored XSS）

保存型XSSは、攻撃者の入力がサーバー側に保存され、閲覧した複数の利用者に対して繰り返し影響するタイプです。掲示板、コメント欄、プロフィール、問い合わせ履歴の表示など、「入力が蓄積される機能」で起きやすく、一度混入すると被害が広がりやすい傾向があります。

DOM型XSS（DOM-based XSS）

DOM型XSSは、サーバーのレスポンス生成というより、ブラウザ上のJavaScriptがDOM（Document Object Model）を操作する過程で、不適切に文字列を扱うことで成立します。サーバー側のフィルタやWAFだけでは見落とされることがあるため、フロントエンド実装（DOMへの代入、テンプレート生成、URL断片の扱いなど）も含めて対策が必要です。

XSS攻撃の具体的な流れ

XSSは「スクリプトを混入させる」だけで完結するとは限りません。実際には、混入 → 実行 → 影響（不正操作や情報取得）という流れになります。

攻撃の初期段階

攻撃者は、入力が表示に反映される箇所や、HTML/JavaScriptの生成・埋め込みを行う箇所を探します。とくに、テンプレートの例外処理、独自実装のエスケープ、管理画面の検索結果表示など、「つい手薄になりがちな画面」も狙われがちです。

攻撃の実行

反射型の場合は、利用者が細工されたURLを開くことで実行されやすく、保存型の場合は、その投稿内容を別の利用者が閲覧することで実行されます。DOM型の場合は、フロントエンドの処理が特定の値をDOMに挿入するタイミングで実行されます。

攻撃の結果と影響

スクリプトが実行されると、偽の画面を表示して入力を誘導したり、利用者の操作を装って処理を行ったりするなど、攻撃の幅が広がります。結果として、個人情報の漏えい、アカウントの不正利用、サービスの信用失墜などにつながる可能性があります。

なぜXSS攻撃は危険なのか？

XSSの本質的な怖さは、「Webサイトが信頼されているほど成功率が上がる」点にあります。利用者は正規サイトにアクセスしているつもりで操作するため、違和感に気づきにくいケースがあります。

個人情報の流出リスク

XSSにより、偽の入力フォームが表示されたり、操作を誘導されたりすると、ID・パスワード、個人情報などが攻撃者に渡る可能性があります。また、利用者がログイン済みの状態で不正操作が行われると、本人が気づかないまま被害が進むこともあります。

Webサイトの信頼性低下

正規のWebサイト上で不審な表示や不正な挙動が起きると、利用者は「そのサイトが危ない」と判断します。復旧しても印象が残りやすく、問い合わせ対応や告知対応など運用負荷も増えます。

経済的損失

不正送金や不正購入などの直接損失だけでなく、調査・復旧・再発防止、顧客対応、法務対応、ブランド回復のコストも含めると影響は大きくなりがちです。被害を受けた利用者側の損失も深刻で、社会的な問題に発展することがあります。

XSS攻撃の実例

ここでは「起こり得る典型像」として、XSSがどのような形で被害につながるかを整理します（個別の固有事例の断定ではなく、一般的なパターンです）。

大規模サービスで起きるケース

プロフィールや投稿機能など「他者が閲覧する領域」に入力が保存されると、保存型XSSとして複数の利用者に影響が広がります。結果として、偽のログイン誘導や不正リンクへの誘導などが連鎖的に起きることがあります。

コメント欄やフォームで起きるケース

コメント欄や問い合わせフォームの「確認画面」「履歴表示」「管理画面の一覧」などで、入力値を不適切に表示するとXSSが成立することがあります。とくに管理画面は権限が高い場合が多く、影響が大きくなりやすい点に注意が必要です。

クロスサイトスクリプティングの対策

XSS対策は「入力を消す」ではなく、基本的には出力時の適切なエスケープ（コンテキストに応じた出力エンコーディング）が中心です。加えて、ブラウザ側の制御（CSPなど）や、設計上の工夫で被害の成立条件を減らします。

入力値の検証と（出力時の）エスケープ

入力値の検証（バリデーション）は重要ですが、それだけでXSSを防げるとは限りません。重要なのは、HTML本文、属性値、JavaScript、URLなど出力先の文脈（コンテキスト）に合わせたエスケープを徹底することです。

HTML本文に出すのか（textとして出すのか）
属性値に入れるのか（引用符の扱いを含む）
JavaScript文字列として埋め込むのか
URLとして使うのか

この「出力箇所ごとに正しい処理が違う」点が、XSSが根強い理由でもあります。

セキュリティヘッダーの活用（CSPなど）

Content Security Policy（CSP）は、ブラウザに「どのスクリプトの実行を許可するか」を指示でき、XSSの影響を抑えるのに役立ちます。ただし、CSPは万能ではなく、既存実装との相性（インラインスクリプトや外部読み込み）もあるため、段階的に導入・強化していく運用が現実的です。