XSS の傾向と Internet Explorer

2005 年までさかのぼると、クロスサイト スクリプト (XSS) は最も多く報告されている (英語) 種類のソフトウェア脆弱性として認識されていました。Web ハッキング インシデント データベース (英語) のデータを使った Veracode による最近の研究 (英語) は、XSS が Web アプリケーションに最も多く見られ、実世界の攻撃に利用される (英語) 可能性が 2 番目に高い脆弱性であることを示しています。

クロスサイト スクリプト (XSS) が最も多い脆弱性であり、Web アプリケーションの 68% に影響を与えていることを示すグラフ。情報漏えいは 2 番目で、Web アプリケーションの 66% に影響を与えている
Veracode 提供のグラフ。許可を得て使用しています

Microsoft Security Response Center (MSRC) によるデータは、XSS の脆弱性の報告数が増えていることを示しています。

クロスサイト スクリプトの脆弱性の報告数が 2004 年の 1 件、2005 年の 3 件、2006 年の 7 件、2007 年の 16 件、2008 年の 9 件、2009 年の 7 件、2010 年の 8 件、2011 年の 22 件から 2012 年の前半は 39 件に増えていることを示すグラフ
XSS の脆弱性の報告数の増加 (2004 年~ 2012 年前半)

上のグラフは、前年比をパーセントで表した場合に、XSS の報告数が他の種類の脆弱性を実際に上回り始めたことに関する Microsoft の観察を示しています。

ユーザーを保護するため、Internet Explorer には、 httpOnly (英語) Cookie、 security=restricted IFRAMES (英語)、 toStaticHTML() (英語)、IE XSS フィルター (英語) など、XSS を対象とする何重にもわたる複数の軽減対策が先駆けて実装されました。IE10 では、新しい HTML5 標準 (英語) IFRAME サンドボックス (英語) のサポートが導入され、Web アプリケーションの開発者が埋め込みコンテンツの動作をより厳密に制御できるようになりました。実世界のデータは、存在する XSS の脆弱性の相対量が増えていることを示し続けているため、私たちはこれらの投資に引き続き力を注いでいきたいと思っています。

IE XSS フィルターの効果を確認するため、私たちは 2012 年の前半に MSRC に報告されたすべての脆弱性を詳しく分析しました。この分析によると、現在のところ IE XSS フィルターは MSRC に報告された合法的な脆弱性全体の 37% に適用されています (見方によっては、報告数の多いもう 1 つの脆弱性クラスはメモリ安全性であり、同じデータ セット内の脆弱性の 24% を占めています)。

IE XSS フィルターは、 ASLR や DEP/NX などのメモリ安全性の軽減対策によってブラウザーの脅威軽減戦略が終わることはないことを示す 1 つの例にすぎません。多くのユーザーと企業が Web テクノロジを活用するにつれて、XSS や他の Web アプリケーションの脆弱性の軽減対策がますます重要になってきました。私たちは、軽減対策が XSS の脅威に対して発揮した効果を確認できて嬉しく思っており、これからもこの分野の前進のために革新を続けていきたいと思っています。

—Microsoft Security Response Center 主任セキュリティ ソフトウェア エンジニア、David Ross