ニュース

Google、XSS攻撃防止に役立つ“CSP”の厳格な運用を支援するツールを2種類公開

10億以上のドメインで設定された“CSP”のうち95%はXSS攻撃に対して効果がない

公式ブログ“Google Online Security Blog”

 米Google Inc.は26日(現地時間)、公式ブログ“Google Online Security Blog”で、“CSP(Content Security Policy)”のより厳格な運用を支援するツールを2種類公開した。

 “CSP”は外部コンテンツの読み込みをドメイン単位で制限する仕組みで、クロスサイトスクリプティング(XSS)攻撃を防止するのに役立つ。しかし、“CSP”を適切に運用しているWebサイトは多くないのが実情だ。

 最近になって10億以上のドメインを対象に同社が行った分析によると、設定された“CSP”のうち95%はXSS攻撃に対して効果がなかったという。同社はその原因の1つとして、開発者が外部スクリプトの読み込み先として許可していることの多い上位15ドメインのうち14ドメインで、攻撃者がCSP保護を迂回できるパターンが明らかにされていることを上げている。

 今回公開された2種類のツールは、いずれも“CSP”の運用を改善し、その潜在能力を引き出すのに役立つ。

 1つ目は「CSP Evaluator」と呼ばれるオンラインツールで、設定されたポリシーの問題点をチェックすることが可能。このツールは「Google Chrome」用の拡張機能として利用することもできる。

 もう1つは「CSP Mitigator」という「Google Chrome」用の拡張機能で、カスタム“CSP”ポリシーを適用することにより、アプリケーションと“CSP”ポリシーの互換性をチェックすることができる。

「CSP Evaluator」
「CSP Mitigator」