SMPのようなWebアプリケーションに対するサイバー攻撃対策の一つとして「XSS」という手法があります。
対策を行わない場合、WEBフォームへ不正なリンクを挿入され、クリックによるマルウェアの感染や個人情報の漏えいが発生する恐れがあります。
このFAQでは、XSSの具体的な攻撃手法や対策方法についてご紹介します。
また、SMPのセキュリティダッシュボードで「管理画面のXSSエスケープ」のエラー表示されていている場合は、影響範囲を確認した上で、システム設定の「XSSエスケープ」を有効にご変更頂く必要があります。
01XSSの基礎知識
1.1 XSS(クロスサイト・スクリプティング)とは
Webサイトの脆弱性を利用し、Webフォームに悪質なスクリプトを埋め込むサイバー攻撃のひとつです。
一般的に、Webフォームの入力ボックスに不正なスクリプトコードを挿入し、リンクに誘導してクリックさせることでマルウェアへの感染や個人情報の漏洩を引き起こします。
SMPの場合、管理画面から項目を入力してWEBフォームを作成するため、管理画面からスクリプトを入力することでフォームに反映されて動作します。
例えば、画面上に以下のようにアラートを表示させ、不正なリンクに誘導させるなどが可能です。
図1.入力項目にアラートのスクリプトを入力した例 |
1.2 SMPへのXSSの影響範囲について
XSS対策を行わない場合、管理画面からスクリプトの入力が可能な状態となります。
SMPのキャンペーン詳細ページなどの入力項目に不正なスクリプトが入力された場合、リードが対象の画面にアクセスした際に管理者が意図しない内容が表示されてしまいます。
|
02SMPでのXSS対策について
2.1 SMPでのXSS対策
セキュリティダッシュボードで表示される「管理画面のXSSエスケープ」は、管理画面から設定する入力項目へ不正なスクリプトを入力された場合に、内容をスクリプトではなくテキストとして扱い、スクリプトが動作しないようにします。
管理画面でエスケープ処理を施すことによって、XSSリスクを軽減する対策となります。
エスケープ処理の例
<script>alert('Hello!')</script> → <script<alert('Hello!')</script<
2.2 XSSに対するセキュリティ対策の判断について
「管理画面のXSSエスケープ」が表示されている場合は対策をご検討ください。
- 全キャンペーン管理画面 >設定 >システム設定一覧 > セキュリティ状態 をクリックします
- セキュリティダッシュボードで「管理画面のXSSエスケープ」の表示を確認する
2.3 SMPでのXSSエスケープ設定方法について
- 全キャンペーン>サイドメニュー>設定>システム設定一覧をクリックします。
- 画面内検索(CTRL+F)で「管理画面のXSSエスケープ」を検索します。
- 設定が「有効」になっていることを確認します。
図3.システム設定一覧イメージ |
本対策はこの設定に加え、弊社での対応が必要な内容となります。
システム設定の「XSSエスケープ」を有効にご変更いただき、担当営業またはカスタマーサポートにお問い合わせをお願いいたします。
■お問い合わせ先
- WEBフォームからのお問合わせ
https://support.shanon.co.jp/hc/ja/requests/new - メールからのお問合わせ
Mail: support@shanon.co.jp - お電話からのお問合わせ
TEL:050-3196-1091
(営業時間:10:00-18:00 土・日・祝祭日を除く)