ここから本文です

Google、Webサイト攻撃に対策支援ツール公開

ITmedia エンタープライズ 9/28(水) 10:15配信

 Web上で横行するクロスサイトスクリプティング(XSS)攻撃の防止に役立ててもらおうと、米Googleが「Content Security Policy」(CSP)を活用した対策を支援するツールを発表した。

【その他の画像】

 XSSは信頼されたWebアプリケーションに不正なスクリプトを仕込む攻撃で、そうした攻撃の阻止を目的とするCSPは主要Webブラウザにサポートされている。

 ところがGoogleが10億あまりのドメインを分析した調査では、CSPポリシーの95%がXSS攻撃を防ぐ役に立っていないことが判明。これは開発者がホワイトリストで外部スクリプトの読み込みを許容している上位15のドメインのうち、14ものドメインでパターンが露出していて、攻撃者にCSPの防御をかわされていることに起因するという。

 Googleはこうした状況を改善させ、CSPの潜在力をフル活用してもらう目的で、ポリシー設定の効果を視覚化してささいな設定ミスも検出できるツール「CSP Evaluator」を公開した。同ツールはGoogle社内でもポリシーの効果をチェックして、攻撃者が迂回できないことを確認するために使っているという。

 さらに、CSPのメリットやCSP実装のサンプルポリシーなどについて解説した文書も公開。また、Chromeの拡張機能として公開したツール「CSP Mitigator」では、ホワイトリストの代わりに使い捨てトークンのノンスを使って、スクリプトの信頼性をチェックするCSPの実装を支援する。

最終更新:9/28(水) 10:15

ITmedia エンタープライズ

なぜ今? 首相主導の働き方改革