そのコード大丈夫?XSS攻撃の脅威と鉄壁の防御策を徹底解説

2025年4月29日火曜日

セキュアコーディング

XSS攻撃の防御とは?Web開発を始めたばかりだと、なんだか難しそうに感じますよね?

自分の書いたコードが原因で、サイト利用者に迷惑をかけてしまったらどうしよう…そんな不安、すごくよく分かります。

この記事では、クロスサイトスクリプティング(XSS)攻撃の基本から、具体的な防御方法(セキュアコーディングの実践テクニック)まで、初心者の方でもしっかり理解できるよう、かみ砕いて解説していきます。

この記事で学べること

  • XSS攻撃がどんな仕組みで、なぜそんなに危険なのかが分かる
  • 具体的なXSS攻撃の防御策とその実装方法(コード例付き!)が身につく
  • セキュアコーディングの第一歩を踏み出し、より安全なコードを書く意識が高まる

XSS攻撃とは何か?その脅威を徹底解説

まずは敵を知ることから始めましょう!

XSSは「クロスサイトスクリプティング」の略称で、Webサイトの脆弱性を利用したサイバー攻撃の一種です。

読み方はそのまま「エックスエスエス」でOK。

簡単に言うと、攻撃者が悪意のあるスクリプト(命令文)をWebサイトに仕込み、それを閲覧した他のユーザーのブラウザ上で実行させてしまう攻撃なんです。

なんだかピンとこないかもしれませんが、これが想像以上に厄介な事態を引き起こす可能性があるんですよ。

クロスサイトスクリプティングXSSの基本

例えば、あなたがコメントを書き込める掲示板サイトを運営しているとします。

もし、入力されたコメント内容をチェックせずにそのまま表示するような作りにしていた場合、悪意のあるユーザーがコメント欄に不正なスクリプトを書き込むかもしれません。

そして、他のユーザーがその書き込みを見ると、仕込まれたスクリプトがそのユーザーのブラウザで実行されてしまう、これがXSS攻撃の基本的な仕組みです。

+-----------------+      +-----------------+      +-----------------+
|   攻撃者        |---->|   脆弱なサイト    |<----|   一般ユーザー    |
| (スクリプト仕込む)|      |(スクリプト保管) |      |(サイト閲覧)     |
+-----------------+      +-----------------+      +-----------------+
      |                                              |
      |                                              V
      +-------------------------------------------->+ スクリプト実行! |
                                                   +-----------------+

本来、ユーザーのブラウザで実行されるスクリプトは、サイト運営者が用意したものだけのはず。

ところが、XSS攻撃では攻撃者が用意したスクリプトが、あたかもそのサイト自身のものかのように実行されてしまうわけです。

なぜ危険?XSS攻撃による深刻な被害事例

じゃあ、スクリプトが実行されると何がまずいのでしょうか?

想像してみてください。もしあなたの銀行サイトのログイン情報(クッキーとか)が盗まれたら?

もしあなたのSNSアカウントが乗っ取られて、勝手な投稿をされたら?
XSS攻撃によって、実際に次のような被害が発生する可能性があります。

  • セッションハイジャック
    ユーザーになりすましてサービスを不正利用される
  • 個人情報や機密情報の漏洩
    Cookie情報、氏名、住所、クレジットカード情報などが盗まれる
  • Webサイトの改ざん
    偽情報が表示されたり、フィッシングサイトへ誘導されたりする
  • マルウェア感染
    ユーザーのPCにウイルスを感染させられる

これらの被害は、サイト利用者だけでなく、サイト運営者の信頼も大きく損なう、非常に深刻な問題に繋がります。

知っておくべきXSS攻撃の主な種類

XSS攻撃は、その手口によって主に3つの種類に分類されます。
それぞれの特徴を知っておきましょう。

1. 反射型XSS (Reflected XSS)
攻撃者が用意した不正なスクリプトを含むURLをユーザーにクリックさせ、その結果としてスクリプトがユーザーのブラウザで実行されるタイプ。
罠サイトへのリンクを踏ませる手口が多いです。
スクリプトはサーバーには保存されません。

2. 格納型XSS (Stored XSS)
攻撃者が不正なスクリプトをWebサイトのデータベースなどに保存させるタイプ。
掲示板やコメント欄など、ユーザーが入力した内容が保存される箇所が狙われます。
サイトを訪れた複数のユーザーが、その書き込みを見るたびに攻撃を受けてしまうため、影響範囲が広くなりやすいのが特徴です。

3. DOMベースXSS (DOM Based XSS)
サーバー側は関与せず、ユーザーのブラウザ上でJavaScriptがDOM(Webページの構造)を操作する際に、不正なスクリプトが実行されてしまうタイプ。
URLのフラグメント部分(#以降)などを悪用することがあります。検出や対策が他のタイプより難しい場合もあります。

【攻撃の流れイメージ】

反射型: ユーザー ---> 攻撃URLクリック ---> サイト(スクリプト反射) ---> ユーザー(実行)
格納型: 攻撃者 ---> サイト(DBに保存) <--- ユーザー(閲覧・実行)
DOMベース: ユーザー ---> URLアクセス ---> ブラウザ内JSがDOM操作 ---> ユーザー(実行)

XSS攻撃防御の核心 - セキュアコーディングの基本原則

XSS攻撃の怖さが分かったところで、いよいよ防御策の話です!

XSS攻撃を防ぐための考え方は、セキュアコーディング、つまり安全なプログラムを書くための基本的な考え方そのものです。

難しく考える必要はありません。大事なポイントは大きく2つです。

入力は疑え!出力はエスケープせよ!防御の鉄則

これがXSS攻撃防御における合言葉であり、セキュアコーディングの大原則です!

  1. 入力値の検証(バリデーション/サニタイジング)
    ユーザーが入力フォームから送ってくるデータや、URLパラメータなど、外部から受け取るデータは基本的に「信用しない」というスタンスが重要です。
    「変なデータが入ってきていないか?」をしっかりチェックし、危険な可能性のあるものは無害化(サニタイジング)します。
  2. 出力値のエスケープ
    Webページにデータを表示する際には、それが単なる文字列として表示されるように「エスケープ処理」を必ず行います。
    例えば、「<script>」のような文字列が、HTMLタグやスクリプトとして解釈されないように変換する処理のことです。

この「入口(入力)」と「出口(出力)」の両方で対策を講じることが、XSS攻撃を防ぐ上で非常に効果的なんです。

フレームワークやライブラリの活用

最近のWebアプリケーションフレームワーク(例えば、Ruby on Rails, Laravel, Django, React, Vueなど)には、標準でXSS対策の機能が組み込まれていることが多いです。

例えば、テンプレートエンジンが出力時のエスケープを自動で行ってくれたりします。これらの便利な機能を積極的に活用しない手はありません。

自前ですべての対策を実装しようとすると、どうしても漏れやミスが発生しやすくなります。
フレームワークや信頼できるセキュリティライブラリの力を借りることで、より堅牢なXSS攻撃防御を実現しやすくなりますよ。

主要なXSS攻撃の防御テクニックと実装方法

さあ、ここからは具体的な防御テクニックをコード例と共に見ていきましょう!
あなたのコードをより安全にするための武器を手に入れる時間です。

サニタイジングによる入力値の検証と無害化

ユーザーからの入力データを安全な状態にする処理がサニタイジングです。

例えば、コメント欄にHTMLタグの入力を許可したくない場合、タグそのものを除去したり、特定の安全なタグだけを許可したりします。

PHPの場合、`strip_tags()`関数でタグを除去できます。

<?php
// ユーザーからの入力を想定
$userInput = '<p>こんにちは!<script>alert("XSS!");</script></p>';

// scriptタグを除去する (pタグは許可する場合)
$sanitizedInput = strip_tags($userInput, '<p>'); // 第2引数で許可タグを指定

echo $sanitizedInput;
// 出力結果: <p>こんにちは!alert("XSS!");</p>
?>

ただし、完全に安全なサニタイジングを自前で実装するのは非常に難しいです。

ライブラリ(例えばHTML Purifierなど)を使うのが一般的ですが、まずは入力されたデータをそのまま信用せず、何らかの処理を施す必要がある、という意識を持つことが第一歩です。

出力時のHTMLエスケープ JavaScriptエスケープ

入力されたデータをWebページに出力(表示)する際には、必ずエスケープ処理を行いましょう。
表示する場所(コンテキスト)に応じて適切なエスケープ方法を選ぶ必要があります。

HTMLコンテキストでのエスケープ
HTMLのタグとして解釈されたくない文字(`<` や `>` など)を、HTMLエンティティ(`<` や `>` など)に変換します。
PHPでは `htmlspecialchars()` 関数を使うのが基本です。

<?php
$userInput = '<script>alert("XSS!");</script>';

// htmlspecialcharsでエスケープ
$escapedOutput = htmlspecialchars($userInput, ENT_QUOTES, 'UTF-8');

// Webページに出力 (例: <div>タグの中など)
echo '<div>' . $escapedOutput . '</div>';
// ブラウザでの表示結果: <div>&lt;script&gt;alert(&quot;XSS!&quot;);&lt;/script&gt;</div>
// → スクリプトとして実行されず、単なる文字列として表示される
?>

JavaScriptコンテキストでのエスケープ
JavaScriptのコード内にユーザー入力などを埋め込む場合は、さらに注意が必要です。

例えば、シングルクォーテーション(')やダブルクォーテーション(")などを適切にエスケープ(例: `\'`, `\"`)しないと、スクリプトの実行を乗っ取られる可能性があります。
JSON形式でデータを渡す場合は、JavaScriptの `JSON.stringify()` を使うのが安全な方法の一つです。

<script>
  // PHPから渡されたデータを想定 (適切にエスケープされている前提)
  // 注意: この例は説明用であり、直接文字列連結するのは危険な場合がある
  var untrustedData = '<?= json_encode($userInput, JSON_HEX_TAG | JSON_HEX_APOS | JSON_HEX_QUOT | JSON_HEX_AMP) ?>';

  // JavaScript内で安全に扱う (例: DOMにテキストとして設定)
  document.getElementById('displayArea').textContent = untrustedData;

  // やってはいけない例: innerHTMLに直接設定
  // document.getElementById('displayArea').innerHTML = untrustedData; // ← XSSのリスク!
</script>

フレームワークのテンプレートエンジンを使っていれば、多くの場合自動で適切なエスケープが行われますが、仕組みは理解しておきましょう。

ContentSecurityPolicy CSPによる多層防御

CSPは、ブラウザに対して「このページでは、どのオリジン(ドメイン)からリソース(スクリプト、画像、スタイルシートなど)を読み込んで良いか」を指示する仕組みです。HTTPヘッダーで設定します。

例えば、「自サイトのスクリプトしか実行を許可しない」と設定しておけば、もしXSS脆弱性があって不正なスクリプトが挿入されたとしても、ブラウザがその実行をブロックしてくれます。
万が一、他の対策が突破された場合の保険として非常に有効な防御策です。

設定例(HTTPヘッダー):

Content-Security-Policy: default-src 'self'; script-src 'self' https://trusted-cdn.com; object-src 'none';

上記は、「デフォルトでは自サイトのリソースのみ許可。スクリプトは自サイトと `trusted-cdn.com` からのみ許可。プラグイン(object)は許可しない」という意味になります。

最初は設定が少し難しいかもしれませんが、強力な防御層を追加できますよ。

HttpOnly属性などCookieのセキュリティ強化

XSS攻撃の目的の一つに、ユーザーのセッション情報などが保存されたCookieを盗むことがあります。

Cookieに `HttpOnly` 属性を付けておくと、JavaScriptからそのCookieへアクセスできなくなります。

これにより、もしXSS攻撃でスクリプトが実行されたとしても、Cookieを盗まれるリスクを大幅に減らすことができます。

ログイン状態を管理するセッションCookieなどには、必ず設定するようにしましょう。

PHPでの設定例

<?php
// セッションCookieにHttpOnly属性を付ける
session_set_cookie_params([
    'lifetime' => 3600,
    'path' => '/',
    'domain' => '.example.com',
    'secure' => true, // HTTPS接続の場合のみCookieを送信
    'httponly' => true, // JavaScriptからのアクセスを禁止
    'samesite' => 'Lax' // CSRF対策にも有効
]);
session_start();

// 通常のCookie設定でも指定可能
setcookie('mycookie', 'value', [
    'expires' => time() + 3600,
    'path' => '/',
    'domain' => '.example.com',
    'secure' => true,
    'httponly' => true,
    'samesite' => 'Lax'
]);
?>

`Secure`属性(HTTPS通信時のみCookieを送信)や`SameSite`属性(CSRF対策)も併せて設定すると、よりセキュリティが向上します。

よくあるXSS対策の落とし穴と回避策

XSS対策、しっかりやっているつもりでも、思わぬところに落とし穴があるものです。

ここでは、特に初心者のうちに見落としがちなポイントと、その回避策をもう少し詳しく見ていきましょう。

「自分は大丈夫」と思わずに、もう一度チェックしてみてくださいね!

ブラックリスト方式は危険がいっぱい

「このタグは危険だから禁止」「この単語はブロックする」といった、危険なものを特定して排除するブラックリスト方式は、基本的に避けるべきです。

なぜなら、攻撃者はあの手この手で制限をすり抜けようとしてくるからです。

  • 大文字と小文字を混ぜる (`<ScRiPt>`)
  • 想定外のエンコーディングを使う (URLエンコード、HTMLエンティティなど)
  • 未知のタグや属性、イベントハンドラを使う (`<img src=x onerror=alert(1)>` など)

これら全てを完璧に予測してブロックするのは、現実的にほぼ不可能です。

対策の基本は、安全だと分かっているものだけを許可する「ホワイトリスト方式」で考えることです。

例えば、「許可するHTMLタグは `<b>` と `<i>` だけ」のように、安全なものを定義し、それ以外は全て拒否(または無害化)するアプローチを取りましょう。

エスケープ漏れはどこに潜む?

出力時のエスケープは基本中の基本ですが、意外な箇所で漏れてしまうことがあります。

特に注意したいのは、HTMLタグの属性値やJavaScriptコード内、CSS内など、表示する場所(コンテキスト)によって適切なエスケープ方法が異なる点です。

<?php
$userInput = 'javascript:alert("XSS!")'; // 悪意のある入力例

// ダメな例: aタグのhref属性にそのまま出力
echo '<a href="' . $userInput . '">リンク</a>';
// → クリックするとスクリプトが実行されてしまう!

// 対策例1: URLとして妥当かチェックし、http/https以外は拒否
if (strpos($userInput, 'http://') === 0 || strpos($userInput, 'https://') === 0) {
    // htmlspecialcharsで属性値としてエスケープ
    echo '<a href="' . htmlspecialchars($userInput, ENT_QUOTES, 'UTF-8') . '">リンク</a>';
} else {
    echo '不正なURLです';
}

// 対策例2: URLでないなら、そもそもリンクにしないなど
?>

HTMLのテキスト部分、HTMLの属性値、JavaScriptの文字列リテラル内、CSSの `url()` 内など、どこに出力するかに応じて、htmlspecialchars、urlencode、JSONエンコードなどを使い分ける必要があります。

フレームワークのテンプレートエンジンを使っている場合でも、その仕組みを理解し、適切に動作しているか確認することが肝心です。

サニタイズ処理の甘さ

入力値の無害化(サニタイジング)も、単純に `strip_tags()` を使うだけでは不十分な場合があります。

例えば、タグ自体は除去できても、許可したタグの属性値に `onload` や `onerror` といったイベントハンドラが仕込まれるケースがあります。

安全なHTMLのみを許可するような高度なサニタイズ処理を自前で完璧に実装するのは非常に困難です。

信頼できるライブラリ(PHPならHTML Purifierなど)の利用を検討するか、そもそもHTMLタグの入力を許可しない方針にするのが、多くの場合より安全です。

フレームワークへの過信

モダンなフレームワークは多くのセキュリティ対策を自動で行ってくれますが、それに頼りすぎるのは禁物です。

例えば、テンプレートエンジンが自動でエスケープしてくれても、開発者が意図的に「エスケープしない」オプション(Raw出力など)を使ってしまうと、途端に脆弱性が生まれます。

フレームワークの機能や設定を正しく理解し、どこまでが自動で、どこからが開発者の責任範囲なのかを把握しておくことが重要です。

DOMベースXSSの見落とし

サーバー側でしっかり対策していても、ブラウザ上で動作するJavaScriptの処理が原因で発生するDOMベースXSSを見落とすことがあります。

特に、URLのフラグメント部分(`#` 以降)など、サーバーに送られないデータを使って動的にページ内容を書き換えるような処理には注意が必要です。

JavaScriptでDOMを操作する際は、`element.textContent` や `element.innerText` を使ってテキストとして内容を設定するなど、安易に `innerHTML` や `document.write` を使わないように心がけましょう。

継続的な学習と情報収集の重要性

XSS対策、そしてセキュアコーディング全般において、「これで完璧」「一度対策すれば終わり」ということは残念ながらありません。

なぜなら、Webを取り巻く環境は常に変化し続けているからです。

なぜ学び続ける必要があるの?

理由はいくつかあります。

  • 攻撃手法の進化
    攻撃者は常に新しい脆弱性や、既存の仕組みを悪用する方法を探しています。昨日まで安全だったコードが、明日には危険になっている可能性だってあるんです。
  • 新しい技術や機能の登場
    新しいブラウザAPI、新しいJavaScriptフレームワーク、新しいサーバー技術などが登場すると、それに伴う新たなセキュリティリスクも生まれることがあります。
  • ライブラリやミドルウェアの脆弱性
    あなたが利用しているフレームワークやライブラリ、OS、Webサーバーなどに脆弱性が発見されることもあります。これらを放置すると、あなたのアプリケーション自体に問題がなくても攻撃を受ける可能性があります。

だからこそ、常に最新の情報をキャッチアップし、自分の知識やスキル、そして開発しているシステムをアップデートし続ける必要があるわけです。

どうやって情報を集める?

セキュリティに関する情報は多岐にわたりますが、信頼できる情報源から効率的に学ぶことが重要です。

以下にいくつか例を挙げます。

  • OWASP (Open Web Application Security Project)
    Webセキュリティに関する世界的なコミュニティです。「OWASP Top 10」(Webアプリの重大リスクTop10)や、各種攻撃手法と対策をまとめた「Cheat Sheet Series」は必読です。
  • 脆弱性情報データベース
    IPA(情報処理推進機構)の「JVN」や、米国の「NVD (National Vulnerability Database)」などで、ソフトウェアの脆弱性情報が公開されています。利用している製品の情報をチェックしましょう。
  • 言語・フレームワークの公式情報
    利用しているプログラミング言語やフレームワークの公式サイト、ブログ、メーリングリストなどでは、セキュリティに関するアップデート情報が提供されることがあります。
  • セキュリティ専門のニュースサイトやブログ
    国内外には、最新のセキュリティ動向やインシデント情報を発信しているサイトが多数あります。
  • カンファレンスや勉強会
    セキュリティ関連のイベントに参加することで、専門家から直接学んだり、他の開発者と情報交換したりする機会が得られます。

これらの情報源を定期的にチェックする習慣をつけましょう。

自分のサイトは大丈夫?客観的な評価も

自分でしっかり対策しているつもりでも、見落としはあるかもしれません。

定期的に脆弱性診断ツールを使ったり、可能であれば第三者の専門家によるセキュリティ診断(ペネトレーションテストなど)を受けたりすることで、客観的な視点から問題を洗い出すことができます。

これは、開発したシステムが本当に安全かどうかを確認するための健康診断のようなものです。

チームで取り組むセキュリティ

もしあなたがチームで開発しているなら、セキュリティは個人だけの問題ではありません。

チーム全体でセキュリティ意識を高め、セキュアコーディングのルールを共有し、コードレビューなどで相互にチェックし合う文化を作ることが、組織全体の防御力を高める上で非常に効果的です。

セキュリティは「誰か一人が頑張る」のではなく、「みんなで守る」ものなのです。

大変そうに感じるかもしれませんが、日々の少しずつの積み重ねが、将来の大きなトラブルを防ぐことに繋がります。

常にアンテナを張り、学び続ける姿勢を持って、安全なWebサービス開発に取り組んでいきましょう!

【まとめ】XSS攻撃防御をマスターするために

ここまでで、XSS攻撃の基本的な仕組みとその防御策について、かなり理解が深まったのではないでしょうか。

最後に、これまでの要点と、これからあなたがさらにセキュアコーディングを身につけていくためのステップを確認しましょう。

  • XSS攻撃は、サイトの脆弱性を利用して悪意のあるスクリプトを実行させる攻撃である。
  • 防御の基本は「入力は疑い、出力はエスケープする」こと。
  • サニタイズ、エスケープ、CSP、Cookieの属性設定などが具体的な防御テクニックとなる。

この記事で学んだことを活かして、ぜひご自身のコードを見直してみてください。

最初は難しく感じるかもしれませんが、一つ一つ確認していくことで、確実に安全なコードを書けるようになりますよ!

このブログを検索

  • ()

自己紹介

自分の写真
リモートワークでエンジニア兼Webディレクターとして活動しています。プログラミングやAIなど、日々の業務や学びの中で得た知識や気づきをわかりやすく発信し、これからITスキルを身につけたい人にも役立つ情報をお届けします。 note → https://note.com/yurufuri X → https://x.com/mnao111

QooQ