クロスサイト・スクリプティング(Cross-site Scripting)とは、悪意のあるサイトと正規のサイトを横断(クロスサイト)して、スクリプトを実行(スクリプティング)させ、情報を詐取する手口です。
Webページの入力テキストボックスなどに、JavaスクリプトやHTMLコードなどを入力すると、それがページに組み込まれて、入力者の意図した処理を行うことができます。
それを悪用すると、次の手順により、個人情報を入手することができます。同じような方法で、ウイルスを侵入させることもできます。
- ① Aは、フィッシングなどの手口により、利用者BにAの悪意のページをアクセスするように仕向ける。
- ② このページには、Cのサイトへ送る情報の宛先をAに変更するスクリプトが組み込まれており、このページを閲覧すると、Cへ転送する機能を持っている。
- ③ Bは、自分が気づかないままにCへそれを転送する。するとCの正規のページが不正のページに変換される。
- ④ それがBに送られて実行される。すなわち、Cへの宛先がAに変更されている。
- ⑤ BはCのサイトを信用している(しかも表示されているページのURLは、正しくCのURLである)ので、パスワードやクレジット番号などを送信する。あるいは、クッキーを受け入れる。
- ⑥ これらの情報はAの指定した宛先に送信される。すなわち、Bは気づかないうちに個人情報をAに漏洩してしまう。あるいは、ウイルスの侵入をゆるしてしまう。
これを防ぐには、正規のサイトCの管理者がこのような改ざんを防止することが必要です。それには、WebページのFORM(入力場所)での入力データをチェックして、タグやスクリプトのような危険のある文字列を受け付けないようにするなど、いろいろな対処をする必要があります。