XSSの脆弱性突く攻撃の実態、Microsoft研究者らが発表

Microsoft研究者らがBlack Hatで、数百サイトに広がっているクロスサイトスクリプティング(XSS)攻撃の実態と、攻撃を防ぐための新ツールについて発表する。

» 2013年07月25日 07時26分 公開
[鈴木聖子,ITmedia]

 米ラスベガスで開かれるセキュリティカンファレンス「Black Hat USA」で、米Microsoftの研究者らが、世界の数百サイトが被害に遭っているというクロスサイトスクリプティング(XSS)攻撃の実態と、そうした攻撃を防ぐための新ツールについて発表を予定している。

 Black HatのWebサイトに掲載された講演要旨によると、Microsoftの研究員グレッグ・ウルブレフスキ氏と、セキュリティ企業Trustwaveの研究員ライアン・バーネット氏は7月31日に、「Webの脆弱性:戦線におけるXSS防衛」と題した発表を行う。

 両氏の研究では、ビッグデータマイニング技術と比較的シンプルな検出方法を組み合わせ、数百のWebサイトで1000以上のWebページがXSSの脆弱性を悪用する攻撃に遭っている実態を突き止めたという。

 この攻撃は複数の国にまたがり、有名な多国籍企業のWebサイトも含めて、あらゆる種類のサイトに被害が広がっているという。

講演要旨(Black Hat USA 2013より)

 発表ではこうした攻撃の実態について解説した上で、XSS攻撃を食い止めるための「最先端の手法」を紹介する。この手法を使えば、実際に流通しているマルウェアのサンプルの95%を阻止できるとしている。

 さらに、XSS攻撃をリアルタイムで検出できるnginxサーバ向けの軽量モジュール「detectXSSlib」も発表を予定している。

関連キーワード

XSS | Web | Microsoft | 脆弱性


Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ