ここ1年のMicrosoft製品で見つかった「重大」「クリティカル」な脆弱性の15％が、いまだにXSS：XSS関連のバグ報奨金、1年で約1億3500万円超

[＠IT]

　Microsoft Security Response Center（MSRC）は2025年9月4日、20年以上前から知られる攻撃手法クロスサイトスクリプティング（XSS）がいまだに重大な脆弱（ぜいじゃく）性として報告され続けている現状をレポートした。XSSは最新のフレームワークやクラウドネイティブアーキテクチャで構築されたアプリケーションでも発見されているという。

　MSRCは2024年1月に970件超のXSS脆弱性のリスクを軽減しており、2024年7月〜2025年7月に「重大」「クリティカル」と評価した脆弱性の15％はXSSだったという。265のXSS脆弱性のうち、263件を「重大」、2件を「クリティカル」と評価し、XSS関連のバグバウンティとして計91万2300ドル（約1億3500万円）を支払った。1件での最高額は2万ドルで、トークン窃取やゼロクリック攻撃といった影響の大きい事例が対象となった。

MSRCによるXSSレポートの概要（提供：Microsoft）

　MSRCは、XSSの深刻度を「データ分類」と「攻撃条件」を組み合わせたマトリクスで評価している。例えば、セッショントークンやクッキーをゼロクリックで奪取できる場合は「クリティカル」、ユーザー操作を必要とするが、セッショントークンをさらす場合は「重大」、機密データの漏えいがなく、自己XSSを必要とする公開ページでのXSSの場合は「中／低」とされる。ユーザー操作の有無や攻撃者側の前提条件、利用環境も評価に含めて影響度を決めている。

　XSS脆弱性の報告は「Microsoft Copilot」「Microsoft 365」「Microsoft Dynamics 365」「Microsoft Power Platform」「Microsoft Azure」「Xbox」などのバグバウンティ（バグ報奨金プログラム）からのものだ。報告したのはMicrosoft社内外のセキュリティ研究者であり、DOM（Document Object Model）ベースの脆弱性、モダンフレームワーク特有の挙動を突いたケースなどが多く見られたという。

　MSRCは「バリデーションやセキュア・バイ・デザインの原則、セキュリティ研究コミュニティーの継続的な関与が重要だ。Microsoftエコシステム全体の保護を強化する」としている。