平成29年度 秋期 ITパスポート試験 公開問題 問91 解説 クロスサイトスクリプティング

クロスサイトスクリプティング（XSS）の問題で「Cookieの漏えい」というキーワードが出たら、即座にセッションハイジャックによる「なりすまし」を連想してください。Cookieに保存されているセッションID（利用者のログイン状態を証明するもの）が盗まれると、攻撃者はIDとパスワードを知らなくても、利用者本人としてWebサービスにアクセスできてしまうからです。

XSSとCookieの関係性

クロスサイトスクリプティング（XSS）とは、Webサイトに悪意のあるスクリプト（プログラムコード）を埋め込む攻撃手法です。脆弱性のあるサイトを閲覧した利用者のブラウザ上で、攻撃者が仕込んだスクリプトが勝手に実行されてしまいます。

このとき、スクリプトがブラウザに保存されているCookieの情報を読み取って外部に送信するように仕組まれていると、利用者のブラウザから情報が盗み出されます。Cookieには、サイトにログインした後に発行される「セッションID」が含まれていることが多く、これが漏えいすると大変危険です。

セッションハイジャックの仕組み

Webサービスは、通常ログイン時にIDとパスワードを照合しますが、ページ遷移のたびにIDとパスワードを入力するのは非効率です。そのため、一度ログインに成功すると、以後の通信ではCookieに含まれるセッションIDを「ログイン済みであることの証明」として使います。

攻撃者は、盗んだセッションIDを自分のブラウザにセットすることで、正規の利用者のログイン状態を乗っ取ります。これがセッションハイジャックです。この状態になると、攻撃者は利用者の個人情報の閲覧や、登録情報の変更、投稿の削除など、そのアカウントで可能なあらゆる操作を実行できてしまいます。これが「アカウントの乗っ取り」につながる理由です。

試験での判断ポイント

ITパスポート試験において、この問題は「XSS＝攻撃者に情報が渡る＝なりすまし＝アカウント乗っ取り」という一連のパターンとして定着させるのが得策です。他の選択肢との区別も重要です。

ア：PCがウイルスに感染する これは主に、ウイルスが混入したメールを開くことや、不正なファイルをダウンロードすることで発生します。XSSによる直接的な被害ではありません。

イ：PC内のファイルを外部に送信される Webブラウザはサンドボックスという仕組みにより、Webサイト側からPC内の任意のファイルを自由に読み取ったり送信したりできないよう制限されています。XSSでできるのはあくまでブラウザ内の情報（Cookieなど）の窃取です。

エ：無線LANを介してネットワークに侵入される これは無線LANの暗号化設定が不十分だったり、盗聴されたりすることで発生する物理的なネットワーク層の攻撃です。

・IPA（独立行政法人 情報処理推進機構）「クロスサイトスクリプティング（XSS）」 ・総務省「国民のための情報セキュリティサイト - Webサービスへの攻撃」 ・JPCERT/CC「Webサイトの脆弱性に関する学習資料」