1. 情報セキュリティブログ ホーム
  2. セキュリティ用語解説
  3. ユニバーサルクロスサイトスクリプティング(UXSS)とは

ユニバーサルクロスサイトスクリプティング(UXSS)とは

ユニバーサルクロスサイトスクリプティング(UXSS)とは、「(脆弱性のない)一般的なサイトでもクロスサイトスクリプティング(XSS)攻撃が可能となる」脆弱性、または、そうした脆弱性を悪用した攻撃のこと。

「ユニバーサル」には、「一般的な」「普遍的な」などの意味がある。XSSがWebサイト(Webアプリ)の脆弱性であるのに対し、UXSSはWebブラウザーに存在する脆弱性であるため、任意の(一般的な)Webサイト上で、任意の(悪意のある)スクリプトを実行させることができるというものだ。

一般的に、Webブラウザーには、JavaScriptなどの安全性を高めるためのセキュリティ機能(「サンドボックス」と呼ばれる)が備わる。これは、Webブラウザー上で悪意のあるプログラムが動作しないよう、JavaScriptによる複数のサイトをまたがったアクセスができないよう制限する(この考え方は「同一生成元ポリシー」と呼ばれる)ものだ。

UXSSの脆弱性は、この同一生成元ポリシーが回避されることにより、悪意のあるURLを利用者にクリックさせ、正規サイトの認証情報を盗み取ったり、正規サイトの表示を改変したり、不正なスクリプトを実行させたり、他の不正サイトへ誘導させたりするなどの可能性がある。フィッシングなどと組み合わせて、個人情報を詐取する攻撃に悪用される可能性もある。

UXSSはブラウザーに存在する脆弱性を悪用した攻撃のため、この攻撃を防ぐためのユーザー側の根本的な対策はない。UXSSによる被害に遭う可能性を低減するためには、脆弱性のない最新版のWebブラウザーを利用し、メール等に記載されたリンクは容易にクリックしないといった慎重な対応を心がけることが求められる。

セキュリティ用語辞典一覧ページへ

関連キーワード:

XSS

スクリプト

フィッシング

同一生成元ポリシー

脆弱性

認証情報

  • 2月のフィッシング報告件数は約4分の1以下に減少
  • カテゴリートップへ
  • セキュリティ対策推進協議会(SPREAD)とは