セルフXSS
【英】self-XSS, self-cross site scripting
セルフXSSとは、ユーザーを騙して、不正な(悪意のある)コードを含んだ文字列を入力させて攻撃に利用する手法である。
セルフXSSは、WebブラウザのアドレスバーやWebサイトの入力フォームなどにJavaScriptなどで書かれた不正なコードを入力して操作する「クロスサイトスクリプティング」(XSS)の一種である。ユーザーの気を引き、ユーザー自身が不正なコードを貼り付けるように誘導する点に大きな特徴がある。
セルフXSSは、SNSの最大手であるFacebookなどでも悪用されている事例が報告されており、問題視されている。セキュリティベンダーのSophosによれば、FacebookにおけるセルフXSSは「何で君がこのビデオでタグ付けされているの?」などのメッセージや、偽の「Dislike」(よくない!)ボタンなどとして表示されており、これらをクリックするとJavaScriptで書かれた悪意あるコードがWebブラウザのアドレスバーに貼り付けられ、スパムメッセージを受け付けたり、不正なリンク投稿したりといった操作が行われてしまう。
2011年11月現在、FacebookではセルフXSS対策として、不審なURLを検知した際にはユーザーに警告を発するなどの対応を行っている。
参照リンク
ソフォス セキュリティ脅威レポート 2011 年上半期 - (SOPHOS。PDF形式)
- セルフXSSのページへのリンク