【2025年最新】XSSとCSRFの違いと対策を徹底解説！Webセキュリティの基礎知識

はじめに

Webアプリケーションのセキュリティにおいて、XSS（Cross-Site Scripting）とCSRF（Cross-Site Request Forgery）は最も重要な脅威の一つです。これらの攻撃手法は混同されがちですが、実際には全く異なるメカニズムと対策が必要です。本記事では、XSSとCSRFの違いを明確にし、効果的な対策方法について詳しく解説します。

XSS（Cross-Site Scripting）とは？

XSSは、Webアプリケーションに悪意のあるスクリプトを注入し、他のユーザーのブラウザ上で実行させる攻撃手法です。「Cross-Site Scripting」の略称ですが、CSSと区別するためXSSと表記されます。

XSS攻撃の基本メカニズム

XSS攻撃は以下のような流れで実行されます：

1. 攻撃者が脆弱なWebサイトに悪意のあるスクリプトを注入
2. 被害者がそのWebページを閲覧
3. 被害者のブラウザで悪意のあるスクリプトが実行される
4. セッション情報やクッキーが盗み取られる

XSSの種類と特徴

反射型XSS（Reflected XSS）

特徴

• URLパラメータや入力フォームに悪意のあるスクリプトを含める
• スクリプトがサーバーからそのまま返される
• 一回限りの攻撃

攻撃例

• 検索結果ページでの検索キーワード表示
• エラーメッセージでのユーザー入力値表示
• URLパラメータの直接表示

格納型XSS（Stored XSS）

特徴

• 悪意のあるスクリプトがサーバーに保存される
• 永続的な攻撃
• より危険性が高い

攻撃例

• 掲示板やコメント欄への投稿
• プロフィール情報の設定
• ブログ記事の投稿

DOM型XSS（DOM-based XSS）

特徴

• クライアントサイドのJavaScriptで発生
• サーバーを経由しない
• ブラウザのDOM操作で発生

攻撃例

• JavaScriptでのURL断片の処理
• 動的なHTML生成
• クライアントサイドルーティング

CSRF（Cross-Site Request Forgery）とは？

CSRFは、ユーザーが意図しないHTTPリクエストを強制的に送信させる攻撃手法です。「クロスサイトリクエストフォージェリ」または「XSRF」とも呼ばれます。

CSRF攻撃の基本メカニズム

CSRF攻撃は以下のような流れで実行されます：

1. 被害者が正規のWebサイトにログイン
2. 攻撃者が悪意のあるWebサイトに誘導
3. 悪意のあるサイトから正規サイトへの偽造リクエストを送信
4. 被害者のセッションを利用して不正な操作が実行される

CSRF攻撃の典型例

銀行振込の例

1. ユーザーがオンラインバンキングにログイン
2. 攻撃者のサイトを閲覧
3. 隠された振込フォームが自動送信される
4. ユーザーの意図しない振込が実行される

パスワード変更の例

1. ユーザーがWebサービスにログイン
2. 悪意のあるメールのリンクをクリック
3. パスワード変更リクエストが送信される
4. アカウントが乗っ取られる

XSSとCSRFの重要な違い

攻撃対象の違い

XSS攻撃

• 主な標的：Webサイトの訪問者
• 影響範囲：個々のユーザー
• 攻撃場所：被害者のブラウザ上

CSRF攻撃

• 主な標的：認証済みのユーザー
• 影響範囲：Webアプリケーション全体
• 攻撃場所：サーバーサイド

攻撃手法の違い

XSS攻撃

• スクリプト注入による情報窃取
• ブラウザ上での悪意のあるコード実行
• セッション情報の盗み取り

CSRF攻撃

• 偽造リクエストによる不正操作
• ユーザーの権限を悪用した操作実行
• 状態変更を伴う処理の不正実行

被害の違い

XSS攻撃による被害

• クッキーやセッション情報の漏洩
• 個人情報の窃取
• アカウントの乗っ取り
• フィッシング攻撃の実行

CSRF攻撃による被害

• 不正な資金移動
• アカウント設定の変更
• 不正な投稿や操作
• データの改ざんや削除

XSS対策の詳細解説

入力値検証（Input Validation）

基本原則

• すべての入力値を検証
• ホワイトリスト方式の採用
• 適切な文字エンコーディングの確認

検証項目

• 文字種の制限
• 文字列長の制限
• 形式の検証（メールアドレス、URLなど）
• 特殊文字の除去または無害化

出力エスケープ（Output Escaping）

HTML出力時のエスケープ

• < → <
• > → >
• & → &
• " → "
• ' → '

JavaScript出力時のエスケープ

• JSON形式での安全な出力
• 適切な文字エンコーディング
• DOM操作時の注意事項

CSS出力時のエスケープ

• スタイル属性での注意点
• URL値での注意点
• 16進エスケープの使用

Content Security Policy（CSP）

CSPの基本概念

• ブラウザでの実行可能なリソースの制限
• インラインスクリプトの実行制御
• 外部リソースの読み込み制御

CSPディレクティブの例

• script-src: スクリプトの実行元制限
• object-src: オブジェクトの埋め込み制限
• img-src: 画像の読み込み元制限

CSP実装のベストプラクティス

• 段階的な導入
• レポート機能の活用
• 定期的な設定見直し

HTTPヘッダーによる対策

X-Content-Type-Options

• MIMEタイプスニッフィングの防止
• nosniffオプションの設定

X-Frame-Options

• クリックジャッキング攻撃の防止
• DENYまたはSAMEORIGINの設定

CSRF対策の詳細解説

CSRFトークン

トークンの基本概念

• ランダムで推測困難な値
• セッションごとに一意の値
• リクエストごとの検証

トークン実装方式

• Hidden inputフィールド
• カスタムHTTPヘッダー
• クッキーとの二重送信

トークン管理のベストプラクティス

• 十分な長さとランダム性
• 適切な有効期限設定
• セッション終了時の破棄

SameSite Cookieの活用

SameSite属性の種類

Strict

• 最も厳格な設定
• クロスサイトリクエストでは送信されない
• ユーザビリティに影響する可能性

Lax

• 一部のクロスサイトリクエストで送信
• GET リクエストのトップレベルナビゲーションで送信
• バランスの取れた設定

None

• 従来の動作
• HTTPS必須
• レガシー対応時に使用

Refererヘッダーの検証

検証方法

• リクエスト元の確認
• 許可されたドメインのチェック
• 空のRefererへの対応

注意点

• プライバシー設定による影響
• プロキシサーバーでの削除
• HTTPSからHTTPへの遷移

CORSの適切な設定

CORS設定の基本

• Access-Control-Allow-Originの制限
• 認証情報を含むリクエストの制御
• プリフライトリクエストの処理

セキュアなCORS設定

• ワイルドカード（*）の使用制限
• 必要最小限のオリジンの許可
• 定期的な設定見直し

高度な攻撃手法と対策

XSSの発展型攻撃

Mutation XSS

• HTML パーサーの差異を利用
• ブラウザ固有の動作を悪用
• DOMPurifyなどのライブラリ使用

Self-XSS

• ソーシャルエンジニアリングと組み合わせ
• ユーザー自身にスクリプト実行させる
• 教育と啓発による対策

CSRFの発展型攻撃

JSON CSRF

• Content-Typeヘッダーの偽装
• プリフライトリクエストの回避
• 適切なCORS設定で対策

Login CSRF

• 攻撃者のアカウントでログインさせる
• 間接的な情報収集
• ログイン時のCSRF対策も必要

フレームワーク別の対策実装

セキュリティ機能の自動化

現代的なWebフレームワーク

• Rails: 自動的なCSRF保護
• Django: middleware による保護
• Express.js: helmet.js の活用
• Spring Security: 包括的な保護機能

設定時の注意点

• デフォルト設定の確認
• カスタマイズ時のセキュリティ考慮
• 定期的なアップデート

テンプレートエンジンの活用

自動エスケープ機能

• Jinja2: autoescape設定
• Twig: 自動エスケープ
• Thymeleaf: 標準のエスケープ

手動エスケープの場面

• 動的なHTML生成
• JavaScript内での文字列使用
• CSS内での変数使用

セキュリティテストの実施方法

XSS脆弱性のテスト

手動テスト手法

• 基本的なペイロードの投入
• 文脈に応じたテストケース
• ブラウザ間の動作差異確認

自動化ツール

• OWASP ZAP
• Burp Suite
• 静的解析ツール

CSRF脆弱性のテスト

テスト手順

• トークンの有無確認
• トークンの推測可能性
• Refererヘッダーの検証

テストツール

• CSRFテスト用のHTMLページ作成
• プロキシツールの活用
• 自動化スクリプトの作成

インシデント対応とモニタリング

攻撃の検知方法

XSS攻撃の検知

• 異常なスクリプト実行の監視
• CSPレポートの分析
• ユーザー行動の異常検知

CSRF攻撃の検知

• 不正なリクエストパターン
• トークン検証の失敗ログ
• 異常な状態変更の監視

インシデント対応手順

immediate Response（即座の対応）

• 攻撃の確認と影響範囲調査
• 緊急パッチの適用
• ユーザーへの注意喚起

後続対応

• 根本原因の分析
• 再発防止策の実装
• セキュリティ監査の実施

開発プロセスでのセキュリティ強化

Secure by Design

設計段階での考慮事項

• 脅威モデリングの実施
• セキュリティ要件の明確化
• アーキテクチャレビュー

開発段階でのベストプラクティス

• コードレビューでのセキュリティ確認
• 単体テストでのセキュリティテスト
• 継続的なセキュリティ教育

DevSecOpsの実践

CI/CDパイプラインでの対策

• 静的セキュリティ解析の自動化
• 依存関係の脆弱性スキャン
• セキュリティテストの自動実行

継続的な改善

• セキュリティメトリクスの測定
• 定期的な脆弱性評価
• セキュリティ文化の醸成

業界別のセキュリティ要件

金融業界

特別な考慮事項

• PCI DSS準拠
• 高度な認証要求
• リアルタイム監視

医療業界

HIPAA対応

• 患者データの保護
• アクセスログの詳細記録
• データの暗号化要求

政府・公共機関

高セキュリティ要求

• 多層防御の実装
• インシデント報告要求
• 定期的な監査対応

最新の脅威動向と対策

新しい攻撃手法

WebAssemblyを利用した攻撃

• 従来の検知手法の回避
• 新しい対策手法の必要性

Progressive Web Appsでの課題

• オフライン機能でのリスク
• Service Workerのセキュリティ

今後の対策動向

ブラウザセキュリティの進化

• Trusted Typesの普及
• より強力なCSP機能
• 自動的な脅威検知

まとめ

XSSとCSRFは、それぞれ異なるメカニズムで動作するWebアプリケーションの重要な脅威です。効果的な対策を実装するためには、両者の違いを正しく理解し、適切な技術的対策を組み合わせることが重要です。

XSSとCSRFの要点整理

XSS対策の重要ポイント

• 入力値検証と出力エスケープの徹底
• Content Security Policyの適切な実装
• 最新のセキュリティヘッダーの活用

CSRF対策の重要ポイント

• CSRFトークンの適切な実装
• SameSite Cookieの活用
• 状態変更操作での検証強化

共通の重要事項

• 開発プロセス全体でのセキュリティ考慮
• 継続的なセキュリティテストの実施
• 最新の脅威情報への対応
• チーム全体でのセキュリティ意識向上

現代のWebアプリケーション開発では、セキュリティは後付けではなく、設計段階から組み込むべき要素です。XSSとCSRFの対策を適切に実装し、定期的な見直しを行うことで、安全で信頼性の高いWebサービスを提供できます。

■プロンプトだけでオリジナルアプリを開発・公開してみた！！

■AI時代の第一歩！「AI駆動開発コース」はじめました！

テックジム東京本校で先行開始。

■テックジム東京本校

「武田塾」のプログラミング版といえば「テックジム」。
講義動画なし、教科書なし。「進捗管理とコーチング」で効率学習。
より早く、より安く、しかも対面型のプログラミングスクールです。

＜短期講習＞5日で5万円の「Pythonミニキャンプ」開催中。

＜オンライン無料＞ゼロから始めるPython爆速講座