森井教授のインターネット講座 最新版(2002年3月18日掲載記事)



第201回 クロスサイトスクリプティング


解説イメージ

またウイルスメールが流行しています。今回は「Fbound」と呼ばれ るウイルスで、今までのウイルスと大きく異なるのは、サブジェク ト(subject)、つまり表題に日本語が使われることです。有名な ラブレターウイルスも、その流行の原因は、表題に love letter  と書かれていて、友人から送られてくることでした。気を許して しまって、添付ファイルを実行し感染したのです。今回は、日本語 で、「極秘」、「お久しぶりです」、とか「重要」といった表題に なっており、友人から送られてくると、つい添付ファイルを開いて しまいそうになります。さらに今回は不幸にも各社のウイルス対策 ソフト(アンチウイルスソフト)が対応しないうちに広まりました。 ウイルス対策ソフトは、ウイルスを定義するファイルを常に最新の ものにしておかなくてはなりません。1日遅れただけでも大きな被害 を被る可能性があるのです。

もうひとつ、聞きなれない言葉が出てきました。クロスサイトスク リプティングです。有名になった「小泉内閣メールマガジン」の登 録ページにクロスサイトスクリプティングを利用したセキュリティ 上の欠陥が指摘されたのです。つまり、悪意あるものが、登録ユー ザを欺いて、別のページに誘導したり、また不正なメッセージを信 用させたりできる可能性が指摘されました。

現在のホームページは非常に高度になっていて、ユーザの指示に基 づいて、自動的にホームページが作成される場合があります。例え ば、上記のユーザ登録のように、名前やパスワード等を登録すると、 その個人のデータを確認するページができます。もし悪意あるもの が、このページの中に実行してはならない命令、例えば他のページ に飛んだり、パスワードを他人に送ってしまう命令が書き込まれ、 実行したとすると大きな問題になります。クロスサイトスクリプテ ィングとは、あるページのスクリプト(命令)が他のサイトへ影響 を及ぼすことから名づけられています。本来、実行されるべきでな いスクリプトがページに記述されることを防がなければならないの です。この対策が練られていないと、悪意あるユーザの予期しない 入力によって、不正なページが作られ、パスワード等の情報を盗ま れる可能性が出てきます。便利になればなるほど、高度な作業を自 動的に行う仕組みを作ることになり、プログラムやシステムが複雑 になって、予期できないセキュリティホール、すなわちセキュリテ ィの盲点が増えることになります。安全性と利便性(便利さ)は、 トレードオフ(互いに反する)の関係にあるのです。


前回掲載記事はこちら
次回掲載記事はこちら

森井教授のインターネット講座ホームページ