ITmedia総合  >  キーワード一覧  >  X

「XSS」関連の最新 ニュース・レビュー・解説 記事 まとめ

Webサイトの入力欄にスクリプトを含んだタグを打ち込むと、そのサーバの脆弱性の度合いによって、cookieを吐き出したり、読み出されたcookieデータが第三者のサーバに転送されるなどの可能性があることをクロスサイトスクリプティングと呼ぶ。
クロスサイトスクリプティング − @ITセキュリティ用語事典

-こちらもご覧ください-
Webアプリにおける11の脆弱性の常識と対策 - @IT
世間の認識と脅威レベルのギャップ――XSSは本当に危ないか? − @IT
クロスサイトスクリプティング対策の基本 連載インデックス - @IT
Insider's Computer Dictionary [クロスサイト・スクリプティング] − @IT

「訴えてやる!」の前に読む IT訴訟 徹底解説(94):
技術的に不可能でも、セキュリティ対策は万全にしろ!
業者がイーサリアムの売買を停止したから3500万円損をした。「NEMが流出したから」だなんて言い訳は許さん!(2022/1/26)

英国の「.uk」ドメイン取り締まり事情【前編】
“悪質ドメイン”減少の訳は? 「.uk」ドメインの停止件数が過去最少に
英国のドメイン管理組織Nominetの報告から、同国でのサイバー犯罪に対する取り組みが功を奏していることが明らかになった。効果の概要とその要因を解説する。(2022/1/20)

ヤマーとマツの、ねえこれ知ってる?:
「Log4j」のトラブルってどうヤバいの? 非エンジニアにも分かるように副編集長に解説させた
「Log4j」の脆弱性が話題になっているが、どれほど影響が大きいものなのか。ITmedia NEWS副編集長に聞いてみた。(2021/12/16)

ほぼ4年ぶりにトップ10を更新:
OWASP、Webアプリの重大なリスクのトップ10「OWASP Top Ten 2021」を公開
「The Open Web Application Security Project」(OWASP)は、Webアプリケーションの重大なセキュリティリスクについてトップ10を選び、解説するドキュメントの最新版「OWASP Top Ten 2021」を公開した。(2021/10/14)

公開情報が少なく対策が不十分:
多数のWebサイトにJavaScriptプロトタイプ汚染の脆弱性あり、セキュリティ研究者が発見
サイバーセキュリティツールベンダーのPortSwiggerは、セキュリティ研究者「s1r1us」氏のブログで発表された調査報告を紹介した。広く使われている18のJavaScriptライブラリに、プロトタイプ汚染の脆弱性があることが明らかになったという。(2021/10/12)

「中身を把握できないままアプリ改修はできない」:
PR:富士ソフトが「システム引き継ぎ」と「PCI DSS準拠」を両立させた“秘策”とは
アプリケーション開発においてセキュアコーディングの重要性は高まっている。だが、「具体的に何をチェックしていけばいいのか」が定まらず、実践するとなると難しい。同様の悩みを抱えていた富士ソフトはどうやってこの課題を解決したのか。(2021/10/12)

AirTagを悪用してiCloudアカウントを窃取する方法が示される
「Apple AirTag」を狙ったiCloudアカウント窃取の方法が公開された。格納型クロスサイトスクリプティング攻撃が使われているという。(2021/9/30)

TechTarget発 世界のITニュース
新しいランサムウェア「BlackMatter」現る 実体は姿を変えた「REvil」の可能性も
2021年7月に新しいランサムウェア「BlackMatter」が出現、作成者はサイバー攻撃者を“募集”している。ランサムウェア「REvil」が犯罪者フォーラムを利用禁止になった直後というタイミングから、2つの密な関係が浮かび上がっている。(2021/9/27)

“ゲーム人気”は攻撃者にも
「ゲーム業界狙いのWeb攻撃」がコロナ禍で活発化 最も多かった攻撃は?
コロナ禍の中で人気を博しているゲームは、サイバー攻撃の格好の標的となっている。どのような種類の攻撃が目立っているのか。Webアプリケーション攻撃に絞り、調査結果を基に実態を探る。(2021/8/18)

「Microsoft Azure」のネットワークサービス11選【前編】
「Azure VNet」「Load Balancer」「Application Gateway」とは Azureネットワークサービスの基礎
「Microsoft Azure」にはさまざまなネットワークサービスがある。その中から「Azure Virtual Network」「Load Balancer」「Application Gateway」を説明する(2021/7/28)

働き方改革時代の「ゼロトラスト」セキュリティ(13):
シャドーITや設定ミスによる情報漏えいなどを防ぐ「クラウドセキュリティ」は統合されてゼロトラストの一部となる
デジタルトラストを実現するための新たな情報セキュリティの在り方についてお届けする連載。今回は、ゼロトラストを構成する上で必要となるクラウドセキュリティ技術について解説する。(2021/7/16)

徳丸 浩氏に聞く「サイバー局」創設の意義とは 国内セキュリティ事情から考える
中国やロシアといった国家を後ろ盾に、ボーダーレスなサイバー攻撃が盛んになってきている今、これらの攻撃に対抗するため警察庁は2022年度に「サイバー局」を新設する構想を明らかにした。その意義とはどのようなものか。Webセキュリティ専門家の徳丸氏に聞いてみた。(2021/8/6)

企業利用に特化した機能を提供:
PR:コロナ禍でビジネスのオンライン化が盛んな今、レンタルサーバーを選ぶ理由
コロナ禍でビジネスのオンライン化が盛んな今、企業のビジネスに貢献できるレンタルサーバーの要件とは何か。レンタルサーバー事業者とセキュリティベンダーに聞いた。(2021/7/1)

セキュリティの「シフトレフト」を推奨:
Webアプリなどが依然として主要な攻撃対象――Forresterの年次アプリセキュリティレポート
WhiteSourceは調査会社Forrester Researchのアプリケーションセキュリティに関する年次レポートの内容を公式ブログで紹介した。組織がオープンソースソフトウェアやサードパーティーのコンポーネントにますます依存し、より多くのAPIを外部に開放している中、どのような対策が望ましいのかが示されている。(2021/4/12)

WordPress人気の検索プラグインに脆弱性、6万以上のWebサイトに影響か
WordPressで人気のある検索プラグインに脆弱性が発見された。脆弱性が利用されれば、攻撃者に悪意あるJavaScriptのコードを実行される危険性があるとされている。影響を受けるWebサイトは6万件以上と推定され、注意が必要だ。(2021/3/31)

iOSの14.4.2と12.5.2配信 「悪用された可能性のあるWebKitの重要なセキュリティアップデート」
Appleが、iOS、iPadOS、watchOSのアップデートをリリースした。悪用された可能性のあるWebKitの脆弱性を修正するものだ。iPhone向けは「iOS 14.4.2」だけでなく、旧モデル向けの「iOS 12.5.2」も出ている。(2021/3/27)

WordPressの人気プラグイン「Elementor」に脆弱性、クロスサイトスクリプティングが可能な状態に
WordPressで非常に人気の高いエディタプラグインである「Elementor」にクロスサイトスクリプティングの脆弱性が存在することが公開された。すでに修正したバージョンが公開されていることから、該当するプラグインを使用している場合にはアップデートを適用してほしい。(2021/3/19)

セキュリティ対策に役立つコンピュータ言語5選【中編】
「HTML」「JavaScript」をセキュリティ担当者が学ぶべき納得の理由
「HTML」「JavaScript」の知識を身に付けておくことは、セキュリティ担当者にとって決して損ではないという。それはどういうことなのか。(2021/2/27)

PR:脆弱性診断の新常識――顧客から急に「セキュリティチェック、やっていますか?」と聞かれても対応できる方法とは?
(2020/11/26)

この頃、セキュリティ界隈で:
脆弱性探しはハッカーが頼り バグ報奨金制度、新型コロナ対応が普及後押し
企業が「賞金稼ぎ」に依頼することへの抵抗がなくなってきたという。(2020/11/9)

「CodeQL」エンジンがベース:
脆弱性を発見するコードスキャン機能がGitHubに統合、セキュリティの問題が次々見つかる
GitHubはコードの脆弱性を簡単に発見できるコードスキャン機能の一般提供を開始した。GitHubの機能に溶け込んでいるため、開発ワークフローの一環としてセキュリティ上の課題を解決しやすい。(2020/10/13)

PR:あなたのWebサービスは本当に安全? 手軽に使える脆弱性診断ツール「VAddy」でWebの健康診断
(2020/9/23)

コードにおけるデータフローを解析し、セキュリティ問題を検出:
Facebook、Instagramを支えるPythonコードの静的解析ツール「Pysa」をOSSで公開
Facebookは、Pythonコードのセキュリティやプライバシーの問題を検出するオープンソースの静的解析ツール「Pysa」の詳細を発表した。(2020/8/19)

個人情報漏えいにつながる恐れも:
AmazonのAlexaに脆弱性、修正もスマートデバイス経由の個人情報流出に警鐘
Amazonは問題を修正。「IoTデバイスは本質的に脆弱で、適切なセキュリティ対策が欠如していることから、攻撃の格好の標的になる」と、セキュリティ企業は警鐘を鳴らしている。(2020/8/14)

親子の会話から学ぶクラウドセキュリティ(2):
1人では大変だなあ――クラウド上で安全なネットワークを構築・管理するために必要な基礎知識
親子の会話で出てくるような素朴な疑問点から、クラウド環境における情報セキュリティの技術を学習する連載。今回は、クラウド上で安全なネットワークを構築・管理するために必要な基礎知識について。(2020/8/4)

Citrix製品の脆弱性、パッチ公開後に悪用探る動きを検出
Citrixが2020年7月7日に修正パッチを公開したばかりの脆弱性について、悪用を試みる動きが検出された。(2020/7/10)

Node、PostgreSQL、MySQL、nginxなど公式コンテナイメージは安全ではない:
Dev、Sec、Opsでの責任共有の推進は47%が未実施も前進――企業のOSSセキュリティに関するSnykレポート
セキュリティ企業のSnykは、オープンソースソフトウェアのセキュリティ状況に関する年次レポートの最新版「State of Open Source Security Report 2020」を公開した。(2020/7/6)

Webアプリケーションを脅かす5つの脆弱性【後編】
バッファオーバーフロー、CSRF、アクセス権限の不備とは? 危険なWeb脆弱性
主なWebアプリケーションの脆弱性を理解することは、セキュリティ対策に役立つ。「バッファオーバーフロー」「CSRF」「アクセス制御の不備」の3つの脆弱性を紹介する。(2020/5/1)

Webアプリケーションを脅かす5つの脆弱性【前編】
SQLインジェクション、クロスサイトスクリプティングとは? Webの主な脆弱性
攻撃によく利用される手法を理解することは、適切なセキュリティ対策を講じるための第一歩だ。Webアプリケーションの主な脆弱性「SQLインジェクション」「クロスサイトスクリプティング」を紹介する。(2020/4/16)

コード実行の脆弱性が多い:
ソフトウェア脆弱性は2019年にどう変わったのか? TheBestVPN.comが報告
TheBestVPN.comは主要なOSやWebブラウザなどで2019年に見つかった脆弱性を調査した結果を発表した。NIST(米国国立標準技術研究所)の「National Vulnerability Database」を基に分析した。OSでは「Android」、アプリケーションソフトウェアでは「Adobe Flash Player」の脆弱性が最も多かった。(2020/3/11)

HTTP Desync攻撃が際立つ:
新たなWebハッキング技術、2019年に登場したトップ10をPortSwiggerが発表
サイバーセキュリティツールベンダーのPortSwiggerは、2019年の新しいWebハッキング技術についてトップ10を発表した。Googleの検索ボックスだけを使うといった全く新しい攻撃手法はもちろん、既存の複数の手法を組み合わせて新たな攻撃を作り上げたものなど、「価値ある」攻撃手法を取り上げた。(2020/2/21)

徳丸浩氏が8つの試練を基に解説:
架空企業「オニギリペイ」に学ぶ、セキュリティインシデント対策
ECサイトやWebサービスでセキュリティインシデントを起こさないためには何をすればいいのか。2019年12月に開かれた「PHP Conference Japan 2019」で徳丸浩氏が、架空企業で起きたセキュリティインシデントを例に、その対策方法を紹介した。(2020/1/28)

AppleのサードパーティーCookie制限機能「ITP」の複数の欠陥をGoogleが指摘
AppleがSafariに搭載するクロスサイトトラッキング制限機能「ITP」に個人情報漏えいにつながる欠陥があったと、Googleが論文で指摘した。(2020/1/23)

Android向けOutlookに脆弱性、Microsoftが更新版で対処
認証された攻撃者が細工を施した電子メールを送り付けることによって、この脆弱性を悪用できてしまう恐れがある。(2019/11/22)

Googleが修正したGmailの脆弱性、「DOM Clobbering」の問題を悪用
発見者は「有名なDOM Clobberingの問題を現実世界で悪用する実例」と位置付けている。(2019/11/19)

守りが薄いWebアプリケーション(2):
常に偵察にさらされるWebアプリケーション、脆弱性が見つかるまで
当連載ではWebアプリケーションのセキュリティが置かれている状況と、サイバー攻撃について具体的なデータを示し、防御策を紹介している。前回はインターネットにはクリーンではないトラフィックが常にまん延していることを実証し、攻撃対象となる領域と、領域ごとの被害例について簡単に整理した。今回は、攻撃者の目線を交えて、Webアプリケーションが攻撃を受けるまでにたどるプロセスに沿って、順に解説していく。(2019/10/10)

なぜ、セキュリティを意識したサイトでも「認証に不安が残る」のか
セキュアスカイ・テクノロジーが、Webサービスの認証を取り巻く「攻撃」と、それに付け入れられる隙となる「脆弱性」の実態を紹介するセミナーを開催。積極的に脆弱性診断を受けるほどセキュリティに気を配っているサイトでも、不備が多々見つかったという。(2019/9/27)

18カ月で35億回の攻撃:
金融サービスが不正ログインの主な標的に Akamaiがセキュリティレポートを発表
Akamaiが発表したレポートによると、フィッシングサイトの被害を受けた組織の50%が金融サービス部門だった。不正ログイン攻撃も18カ月で35億回確認された。金融サービスを利用する顧客の個人データや銀行口座情報がリスクにさらされている。(2019/8/19)

18カ月で35億回も 金融サービスの顧客を狙うサイバー攻撃の傾向が判明
Akamaiが発表したレポートによると、金融サービスを利用する顧客の個人データや銀行口座情報がリスクにさらされているという。フィッシングサイトの被害を受けた組織の50%が金融サービス部門だった。不正ログイン攻撃も18カ月で35億回確認された。(2019/8/16)

British Airwaysで何が起こっていたのか
大手航空会社が「GDPR」違反で約240億円の罰金 制裁は正当か
British Airwaysは、大規模な顧客情報流出に対してGDPRの制裁を受け、1億8339万ポンドの罰金が科せられる可能性がある。攻撃の詳細は明らかになっておらず、制裁の正当性について専門家は疑問を呈する。(2019/8/7)

Apple、Windows版iCloudとiTunesの脆弱性を修正
Windows向けのiCloudおよびiTunesのセキュリティアップデートが公開され、多数の脆弱性が修正された。(2019/7/24)

「Outlook for Android」に脆弱性、Microsoftが更新版リリース
攻撃者が細工を施した電子メールを送り付けることによって、脆弱性を悪用される恐れがある。(2019/6/25)

守りが薄いWebアプリケーション(1):
狙われるWebアプリケーション、何が起こるのか
当連載ではWebアプリケーションのセキュリティがどのような状況にあり、どのような攻撃や防御策があるのかを紹介していく。第1回はWebアプリケーションがどのように狙われているのか、概要を紹介する。Webアプリケーションに向けた攻撃は数多く、規模も大きい。主に4つの部分が攻撃にさらされており、被害の内容は異なる。(2019/6/25)

セキュリティ・アディッショナルタイム(32):
深夜のXSS講座も? サイボウズのバグハンター合宿がやたら楽しそうな件
ソフトウェアに含まれるバグや脆弱性を見つける者たちが1カ所に集まり、集中的に脆弱性を見つけ出す「バグハンター合宿」をサイボウズが開催した。なぜ、わざわざ脆弱性報奨金制度を展開し、合宿まで実施するのだろうか。(2019/6/6)

セキュリティが目指す高度な自動化の方向が見えた
今回は、2019年5月8〜10日に開催された「第16回情報セキュリティExpo」の展示会場から、サイバーセキュリティの新しいトレンドを見据えた製品を幾つかピックアップした。APIのセキュリティを支援する製品や、人手が足りない現場を助ける高度な自動化ツール、DNSにアクセスした段階で脅威を取り除くソリューションなどが目立った。(2019/5/29)

【特集】Transborder 〜デジタル変革の旗手たち〜:
「エンジニア経験ゼロ」から「サイバーセキュリティのプロ」へ ある女子が果たした転身のきっかけ
リクルートグループのセキュリティ専門集団「Recruit-CSIRT」で専門チームを率いる安東美穂さん。日夜進化するサイバー攻撃との戦いの最前線に、数年前、未経験のエンジニアとして飛び込んだ。そのきっかけは何だったのか。(2019/4/19)

これからは継続的な脆弱性チェックが必須に:
PR:日常化するWebサイトの脆弱性を突く攻撃――“すぐそこにある脅威”に企業がとる最善の方法とは?
FinTechやIoTなど、デジタル変革の取り組みが進む中、Webサイトの更新サイクルはますます速まっている。同時に、攻撃者が新しいサービスに潜む脆弱性を見つけ出し、それを悪用する動きも加速している。これまでの手動の脆弱性検査では追随できなくなっているのが現状だ。そうしたWebサイトの現状にいま、求められるセキュリティサービスとはどのようなものなのか。(2019/3/27)

ThreatXが考える新しい世代のクラウド型WAF:
CI/CDパイプラインを妨げない形でセキュリティを実現すれば、「開発者や運用担当者に嫌われないWAF」は可能か
米国のセキュリティ企業ThreatXでは、シグネチャではなく、サイバーキルチェーンに沿ったプロファイリングとアプリケーションそのものの挙動を学習することによって脅威を検知するWAF製品を提供し、アプリケーション開発者や運用者にも好かれるWAFを目指す。(2019/3/15)

OSS脆弱性ウォッチ(11):
2019年も脆弱性の全公開情報を調べるには2〜3人月かかる――CVE/CWE視点で見る2018年の脆弱性のトレンド
連載「OSS脆弱性ウォッチ」では、さまざまなオープンソースソフトウェアの脆弱性に関する情報を取り上げ、解説する。今回は、2018年の脆弱性のトレンドを、CVE、CWEなどの視点から見てみます。(2019/1/17)

IoTセキュリティの現実的な仕組みと課題(3):
想像してみよう、もしもIIoTの世界でセキュリティ対策をしなかったら?
工場や重要インフラで利用されつつある「インダストリアルIoT(IIoT)」の世界に着目し、IoTセキュリティの現実的な仕組みと課題について解説する本連載。第3回では、IIoTの世界で適切なサイバーセキュリティ対策を施さなかったらどうなるのかを想像することで、セキュリティ対策(投資)の必要性に対する理解を深めたい。(2018/10/25)


サービス終了のお知らせ

この度「質問!ITmedia」は、誠に勝手ながら2020年9月30日(水)をもちまして、サービスを終了することといたしました。長きに渡るご愛顧に御礼申し上げます。これまでご利用いただいてまいりました皆様にはご不便をおかけいたしますが、ご理解のほどお願い申し上げます。≫「質問!ITmedia」サービス終了のお知らせ

にわかに地球規模のトピックとなった新型コロナウイルス。健康被害も心配だが、全国規模での臨時休校、マスクやトイレットペーパーの品薄など市民の日常生活への影響も大きくなっている。これに対し企業からの支援策の発表も相次いでいるが、特に今回は子供向けのコンテンツの無料提供の動きが顕著なようだ。一方産業面では、観光や小売、飲食業等が特に大きな影響を受けている。通常の企業運営においても面会や通勤の場がリスク視され、サーモグラフィやWeb会議ツールの活用、テレワークの実現などテクノロジーによるリスク回避策への注目が高まっている。