CSSXSS(シーエスエス クロスサイトスクリプティング) | IT用語

CSSXSSとは【CSS Cross Site Scripting：CSS・クロス・サイト・スクリプティング】の略称で、スタイルシート(CSS) を利用した際に生じる脆弱性への攻撃方法です。攻撃者はCSSのインポート機能(Webブラウザがスタイルシートを読み込む機能)を利用して、不正な情報を含ませたWebページを被害者に閲覧させることにより、被害者の情報を不正に取得します。

最近のWebページでは HTML と CSS がしっかり切り分けて管理されています。HTMLは文書の意味や構造を定義し、CSSでは色やレイアウトなどのデザイン関連が定義され、HTML と CSS で構造と体裁が分離されて文書が記述されています。その際、CSS が定義されたファイルを外部化して HTMLファイル から CSSファイル を呼び出すことが出来ます。HTMLファイル から CSS を読み込む方法は「@import」「addimport」「link」など複数の用意されています。インポート機能を利用して読み込まれるファイルは、HTMLファイル が設置されているファイルのドメイン以外に設置されていてもインポートが可能であり、さらに、CSS以外の形式ファイルでもインポートが可能です。

本来はCSS形式のファイルのみがインポートの対象となりますが、別形式のファイルでも読み込んでしまうことが可能で、そこに問題があります。この問題は「Internet Explorer」において発生します。「Internet Explorer」は「{」という記号が含まれている文書をCSSファイルとして認識してしまいます。また、「Shift-jis」で記述されている場合、カタカナの「ボ」や「マ」なども「{」と同じ文字コードとして扱われます。これが脆弱性となり、そこを利用することで悪意のあるファイルを読み込ませ、不正に情報を取得する攻撃が発生してしまします。

CSSXSSは、Googleの「Google Desktop Exposed:Exploiting an Internet Explorer Vulnerability to Phish User Information」で有名になりました。