【問194】個人情報保護士 練習問題|不正アクセス・サイバー攻撃の種類と対策
情報セキュリティ 問14/120難易度B(標準)
問題文
クロスサイトスクリプティング(XSS)に関する次の記述のうち、最も適切なものはどれか。
- 1.XSSはWebサイトの脆弱性を悪用し、利用者のブラウザ上で不正なスクリプトを実行させる攻撃である
- 2.XSSはサーバ側のデータベースを直接攻撃する手法であり、クライアント側には影響しない
- 3.XSSはHTTPS通信を行っているWebサイトでは発生しない
- 4.XSSの対策はファイアウォールの設定のみで十分である
解説
正解
正解は選択肢1です。
各選択肢の解説
選択肢1 → ✅正解
XSSは、Webサイトの脆弱性を悪用して、利用者のブラウザ上で不正なJavaScript等のスクリプトを実行させる攻撃です。これによりCookie情報の窃取、セッションハイジャック、偽ページの表示などが行われます。
選択肢2 → ❌誤り
XSSはクライアント側(利用者のブラウザ)で不正なスクリプトが実行される攻撃であり、サーバ側のデータベースを直接攻撃するSQLインジェクションとは異なります。
選択肢3 → ❌誤り
HTTPS通信は通信経路の暗号化を行うものであり、Webアプリケーションの脆弱性に起因するXSSを防止することはできません。
選択肢4 → ❌誤り
XSSの対策にはWebアプリケーション側での出力エスケープ処理、入力値のバリデーション、Content Security Policyの設定などが必要です。
背景知識
XSSはWebアプリケーションに対する代表的な攻撃手法の一つで、反射型XSS、格納型XSS、DOM Based XSSの3種類に分類されます。反射型はURLパラメータに不正なスクリプトを含ませる手法、格納型はサーバに不正なスクリプトを保存させる手法、DOM Based XSSはクライアント側のJavaScriptの脆弱性を利用する手法です。個人情報保護の観点からは、Cookie内のセッション情報の窃取による不正ログインが大きなリスクとなります。
学習アドバイス
XSSは「ブラウザ上でスクリプトが実行される」という点が本質です。SQLインジェクションとの違い(攻撃対象がクライアント側かサーバ側か)を明確にしておきましょう。
まとめ
- XSSは利用者のブラウザ上で不正スクリプトを実行させる攻撃
- Cookie窃取やセッションハイジャックが主な被害
- 出力エスケープ処理が基本的な対策