· トレンド・試験情報 · 3 min read
ブラウザ経由の罠!XSS(クロスサイトスクリプティング)の脅威とWebサイトの保護方法
掲示板やSNSに潜む不正スクリプト。XSSの仕組みから、サニタイジングやWAFなどの防御策まで、ITパスポート試験の重要ポイントを速攻解説。
3行まとめ
- Cross-Site Scriptingの略。掲示板やSNSなどのWebサイトに、不正な「スクリプト(プログラム)」を仕込む攻撃。
- ITパスポート試験では、最新のセキュリティ対策(サニタイジング、WAF等)として頻出の最重要キーワード。
- ユーザーのブラウザ上で勝手にスクリプトが実行され、Cookie情報などが盗まれる被害が発生する。
シラバス上の位置付け
- テクノロジ系 / セキュリティ / 脅威と脆弱性
- テクノロジ系 / セキュリティ / 情報セキュリティ対策(Webサイトの安全)
試験での出題ポイント
試験では、「どのような仕組みで攻撃が行われるか、およびその具体的対策」が問われます。
- 仕組み: 入力フォームに「<script>...</script>」というタグを書き込み、他のユーザーがその書き込みを見たときに実行させる。
- 被害: Cookieの盗難(セッションハイジャック)、偽サイトへの強制リダイレクト、個人情報の横取り。
- 対策(サニタイジング): 特別な意味を持つ記号(「<」や「>」など)を、無害な文字列に変換して無効化すること。
- 対策(WAF): Web Application Firewall。Webサイトの通信を監視し、不審なスクリプトが含まれていないかチェックする。
【AIハック】生成AIで最速暗記
AIに「凶悪なハッカー」を演じさせ、その手口を暴露させましょう。
プロンプト例:
「私は掲示板を狙うハッカーです。掲示板に投稿された内容をブラウザで開いただけで、勝手に別のWebサイトに飛ばされてしまう『XSS』の罠を仕掛けるつもりです。この恐ろしさを、1分で初心者にも分かるようにドヤ顔で語ってください。」
合格へのヒント:
「クロス(交差)」という言葉の通り、サイトAの脆弱性を利用して、サイトB(攻撃用サイト)のスクリプトをユーザーに見せてしまう攻撃だとイメージしましょう。
まとめ・次のステップ
Webの脆弱性を知ることで、安全なサービスを作れるようになります。
次は、さらに巧妙化する偽情報の脅威、「ディープフェイク」について学んでいきましょう。