ここ1年のMicrosoft製品で見つかった「重大」「クリティカル」な脆弱性の15%が、いまだにXSSXSS関連のバグ報奨金、1年で約1億3500万円超

XSSは最新のフレームワークやクラウドネイティブアーキテクチャで構築されたアプリケーションでも発見されている。

» 2025年09月16日 10時20分 公開
[@IT]

この記事は会員限定です。会員登録(無料)すると全てご覧いただけます。

 Microsoft Security Response Center(MSRC)は2025年9月4日、20年以上前から知られる攻撃手法クロスサイトスクリプティング(XSS)がいまだに重大な脆弱(ぜいじゃく)性として報告され続けている現状をレポートした。XSSは最新のフレームワークやクラウドネイティブアーキテクチャで構築されたアプリケーションでも発見されているという。

 MSRCは2024年1月に970件超のXSS脆弱性のリスクを軽減しており、2024年7月〜2025年7月に「重大」「クリティカル」と評価した脆弱性の15%はXSSだったという。265のXSS脆弱性のうち、263件を「重大」、2件を「クリティカル」と評価し、XSS関連のバグバウンティとして計91万2300ドル(約1億3500万円)を支払った。1件での最高額は2万ドルで、トークン窃取やゼロクリック攻撃といった影響の大きい事例が対象となった。

MSRCによるXSSレポートの概要(提供:Microsoft

 MSRCは、XSSの深刻度を「データ分類」と「攻撃条件」を組み合わせたマトリクスで評価している。例えば、セッショントークンやクッキーをゼロクリックで奪取できる場合は「クリティカル」、ユーザー操作を必要とするが、セッショントークンをさらす場合は「重大」、機密データの漏えいがなく、自己XSSを必要とする公開ページでのXSSの場合は「中/低」とされる。ユーザー操作の有無や攻撃者側の前提条件、利用環境も評価に含めて影響度を決めている。

 XSS脆弱性の報告は「Microsoft Copilot」「Microsoft 365」「Microsoft Dynamics 365」「Microsoft Power Platform」「Microsoft Azure」「Xbox」などのバグバウンティ(バグ報奨金プログラム)からのものだ。報告したのはMicrosoft社内外のセキュリティ研究者であり、DOM(Document Object Model)ベースの脆弱性、モダンフレームワーク特有の挙動を突いたケースなどが多く見られたという。

 MSRCは「バリデーションやセキュア・バイ・デザインの原則、セキュリティ研究コミュニティーの継続的な関与が重要だ。Microsoftエコシステム全体の保護を強化する」としている。

Copyright © ITmedia, Inc. All Rights Reserved.

アイティメディアからのお知らせ

スポンサーからのお知らせPR

注目のテーマ

4AI by @IT - AIを作り、動かし、守り、生かす
Microsoft & Windows最前線2025
AI for エンジニアリング
ローコード/ノーコード セントラル by @IT - ITエンジニアがビジネスの中心で活躍する組織へ
Cloud Native Central by @IT - スケーラブルな能力を組織に
システム開発ノウハウ 【発注ナビ】PR
あなたにおすすめの記事PR

@ITについて

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。