ここ1年のMicrosoft製品で見つかった「重大」「クリティカル」な脆弱性の15%が、いまだにXSS:XSS関連のバグ報奨金、1年で約1億3500万円超
XSSは最新のフレームワークやクラウドネイティブアーキテクチャで構築されたアプリケーションでも発見されている。
Microsoft Security Response Center(MSRC)は2025年9月4日、20年以上前から知られる攻撃手法クロスサイトスクリプティング(XSS)がいまだに重大な脆弱(ぜいじゃく)性として報告され続けている現状をレポートした。XSSは最新のフレームワークやクラウドネイティブアーキテクチャで構築されたアプリケーションでも発見されているという。
MSRCは2024年1月に970件超のXSS脆弱性のリスクを軽減しており、2024年7月〜2025年7月に「重大」「クリティカル」と評価した脆弱性の15%はXSSだったという。265のXSS脆弱性のうち、263件を「重大」、2件を「クリティカル」と評価し、XSS関連のバグバウンティとして計91万2300ドル(約1億3500万円)を支払った。1件での最高額は2万ドルで、トークン窃取やゼロクリック攻撃といった影響の大きい事例が対象となった。
MSRCは、XSSの深刻度を「データ分類」と「攻撃条件」を組み合わせたマトリクスで評価している。例えば、セッショントークンやクッキーをゼロクリックで奪取できる場合は「クリティカル」、ユーザー操作を必要とするが、セッショントークンをさらす場合は「重大」、機密データの漏えいがなく、自己XSSを必要とする公開ページでのXSSの場合は「中/低」とされる。ユーザー操作の有無や攻撃者側の前提条件、利用環境も評価に含めて影響度を決めている。
XSS脆弱性の報告は「Microsoft Copilot」「Microsoft 365」「Microsoft Dynamics 365」「Microsoft Power Platform」「Microsoft Azure」「Xbox」などのバグバウンティ(バグ報奨金プログラム)からのものだ。報告したのはMicrosoft社内外のセキュリティ研究者であり、DOM(Document Object Model)ベースの脆弱性、モダンフレームワーク特有の挙動を突いたケースなどが多く見られたという。
MSRCは「バリデーションやセキュア・バイ・デザインの原則、セキュリティ研究コミュニティーの継続的な関与が重要だ。Microsoftエコシステム全体の保護を強化する」としている。
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
SQLインジェクションや認証の欠陥を自動的に発見 「Claude Code」にセキュリティレビュー機能
Anthropicは2025年8月6日、コーディング支援ツール「Claude Code」にセキュリティレビューを自動化する機能を追加したと発表した。同社は、開発現場におけるコードレビューの負担を軽減し、安全なアプリケーション開発を支援するとしている。
「認可されたAPIアクセスで、ゆっくりとデータを盗む攻撃」に注意 Akamaiが脅威レポートを公開
Akamaiは、脅威レポート「インターネットの現状(SOTI)|影に潜む脅威:攻撃トレンドでAPIの脅威を解き明かす」を公開した。それによるとWebに関する全攻撃の29%が「APIを標的とした攻撃」だという。
ソフトウェア開発で気を付けたい脆弱性トップ25 3位は「SQLインジェクション」 2位は「XSS」 1位は?
MITREは、ソフトウェアにおいて危険な脆弱性タイプの1位〜25位をまとめた「CWE Top 25」を発表した。