マイクロソフトは9月15日、クロスサイトスクリプティング(XSS)が依然として重要な理由についての解説記事を同社ブログで発表した。
マイクロソフトでは、従来のポータルから新しく展開されたシングルページ アプリまで、サービス全体でXSSレポートを継続的に受け取っており、ブラウザのセキュリティ、コンテンツセキュリティポリシー(CSP)、デフォルトのセキュアライブラリは進歩しているにもかかわらず、依然としてXSSは永続的な脅威ベクトルであるとしている。
20年前から脆弱性クラスとして知られているXSSは、既知の最も古いWeb脆弱性の1つであるにもかかわらず、マイクロソフトのセキュリティ事例では依然として主要な脅威となっており、2025年半ばの時点で、Microsoft Security Response Center(MSRC)は2024年1月以降だけで970件以上のXSSケースを緩和している。
2024年7月から2025年7月までの数字を見たところ、重要または緊急であるMSRCケースのうち15%がXSSで、265件のXSSケースのうち263 件を重大と評価し、2件を緊急と評価している。XSS報奨金として912,300ドルを支払い、トークンの盗難やゼロクリック攻撃などの影響の大きいケースに対して、単一の報奨金の最高額となる20,000ドルを授与している。
MSRCでは、顧客の保護を優先するために、データ分類と悪用条件を組み合わせたマトリックスを使用してXSSの脆弱性を評価し、深刻度を判断することで、最も影響力のある課題にベストな優先順位を設定している。
深刻度が「緊急」なものの例として「セッショントークンや機密性の高いCookieを侵害するゼロクリックXSS」を、「重要」なものとして「XSSはユーザーの操作を必要とするが、セッショントークンを公開する」ものを、「中/低」なものとして「機密データは漏えいしない、またはセルフXSSを必要とする公開されたページでのXSS」を挙げている。また、深刻度に影響を与える他の要因として、ユーザー操作、攻撃者の前提条件、環境条件などを挙げている。
マイクロソフトでは、従来のポータルから新しく展開されたシングルページ アプリまで、サービス全体でXSSレポートを継続的に受け取っており、ブラウザのセキュリティ、コンテンツセキュリティポリシー(CSP)、デフォルトのセキュアライブラリは進歩しているにもかかわらず、依然としてXSSは永続的な脅威ベクトルであるとしている。
20年前から脆弱性クラスとして知られているXSSは、既知の最も古いWeb脆弱性の1つであるにもかかわらず、マイクロソフトのセキュリティ事例では依然として主要な脅威となっており、2025年半ばの時点で、Microsoft Security Response Center(MSRC)は2024年1月以降だけで970件以上のXSSケースを緩和している。
2024年7月から2025年7月までの数字を見たところ、重要または緊急であるMSRCケースのうち15%がXSSで、265件のXSSケースのうち263 件を重大と評価し、2件を緊急と評価している。XSS報奨金として912,300ドルを支払い、トークンの盗難やゼロクリック攻撃などの影響の大きいケースに対して、単一の報奨金の最高額となる20,000ドルを授与している。
MSRCでは、顧客の保護を優先するために、データ分類と悪用条件を組み合わせたマトリックスを使用してXSSの脆弱性を評価し、深刻度を判断することで、最も影響力のある課題にベストな優先順位を設定している。
深刻度が「緊急」なものの例として「セッショントークンや機密性の高いCookieを侵害するゼロクリックXSS」を、「重要」なものとして「XSSはユーザーの操作を必要とするが、セッショントークンを公開する」ものを、「中/低」なものとして「機密データは漏えいしない、またはセルフXSSを必要とする公開されたページでのXSS」を挙げている。また、深刻度に影響を与える他の要因として、ユーザー操作、攻撃者の前提条件、環境条件などを挙げている。
編集部おすすめ
![[USBで録画や再生可能]Tinguポータブルテレビ テレビ小型 14.1インチ 高齢者向け 病院使用可能 大画面 大音量 簡単操作 車中泊 車載用バッグ付き 良い画質 HDMI端子搭載 録画機能 YouTube視聴可能 モバイルバッテリーに対応 AC電源・車載電源に対応 スタンド/吊り下げ/車載の3種類設置 リモコン付き 遠距離操作可能 タイムシフト機能付き 底部ボタン 軽量 (14.1インチ)](https://m.media-amazon.com/images/I/51-Yonm5vZL._SL500_.jpg)