今夜から飲みが続くYu-ichiです
さて、様々なWEBアプリケーションが登場して、ホームページの利便性や有効性が高まっていますが、それと同時にセキュリティに関する意識を上げていく必要があります。
良くあるのが、フリーのCGIを使った場合に、セキュリティ対策がされていなかった為に悪意のあるスクリプトが埋め込まれたり、フィッシングサイトに勝手に誘導されてしまったりするものです。
個人的なHPであれば閲覧数もそれほどないので、被害は少ないかもしれませんがこれが企業や有名なサイトの場合、多くの被害が予想されます。
そして、CGIやJavaScriptなどに悪意のあるスクリプトコードを入力し、それがそのまま実行され閲覧者に何らかの被害を及ぼすものをXSS(クロスサイトスクリプティング)と呼んでいます。
ちなみに2010年にTwitterもこの攻撃を受けています。
具体的には、掲示板やフォームなどで悪意のあるコード(HTMLやJavaScriptなど)を入力した際に、それがそのまま実行され、例えばページの一部が書き換えられてしまったり、リンクをクリックすると外部の悪意のあるサイトに飛んでしまったり、閲覧者のPCにウィルスを勝手にダウンロードしてしまうなど、様々な悪影響を及ぼします。
さらに具体的な例がこちらのサイトで紹介されています。
このXSSによる攻撃は企業のセキュリティ意識が年々高まりつつあるので減少してきてはいるものの、
依然として4割近くのサイトが対策出来ていない危険な状態だというデータもあります。
フリーのCGIやスクリプトを扱う際には、権利や使い勝手だけでなくセキュリティのことも考慮して良いものを使ってみてください。
もちろん、XSSだけでなくSSL暗号化などその他のセキュリティ対策はお金をかけてでもやっておくべきですね。
また、そういった脆弱性を発見したらサイト管理者にこっそり教えてあげるか、
IPA(独立行政法人 情報処理推進機構)の窓口に通報してあげてください。
