search close

プラットフォーム
- AI-Powered エンタープライズサイバーセキュリティプラットフォーム
  - Trend Vision One™
    
    AI-Powered エンタープライズサイバーセキュリティプラットフォーム
    
    EDRを進化させたXDRでIT環境、OT環境を保護
    詳しくはこちら
- Cyber Risk Exposure Management
  - Cyber Risk Exposure Management
    
    可視化したサイバーリスクに基づき、決断力のある、プロアクティブなセキュリティを提供します。
    詳しくはこちら
- Security Operations (SecOps)
  - Security Operations (SecOps)
    
    XDR、Agentic SIEM、Agentic SOARで収集した情報から攻撃の端緒を可視化、防止。攻撃者に隠れる余地を与えません。
    詳しくはこちら
- クラウドセキュリティ
  - クラウドセキュリティ
    - クラウドセキュリティ
      
      オンプレミスからクラウドまでシームレスな保護を提供し、開発者・セキュリティチームをはじめ、企業にとって最も信頼できるクラウドセキュリティプラットフォーム
      詳しくはこちら
  - Cyber Risk Exposure Management-Cloud Risk Management：クラウド状態管理、マルウェア、脆弱性対策
    - Cyber Risk Exposure Management-Cloud Risk Management
      
      クラウド資産の可視化に加えて、脆弱性、設定ミスの可視化と優先度づけ、攻撃経路の予測により、リスク軽減をサポート。ベストプラクティスに照らしたコンプライアンス対応状況の把握も可能。エージェントレスでのマルウェア、脆弱性検索にも対応。
      詳しくはこちら
  - Workload Security：クラウドインスタンスを保護
    - Workload Security
      
      パフォーマンスを損なうことなく、データセンター、クラウド、コンテナを保護するクラウド型セキュリティ
      詳しくはこちら
  - Container Security：コンテナ環境を保護
    - Container Security
      
      コンテナイメージを自動的にスキャン、セキュアなCI/CDパイプラインを実現
      詳しくはこちら
  - File Security：クラウドストレージのウイルス対策
    - File Security
      
      アプリケーションのワークフローやクラウドストレージを高度な脅威から保護
      詳しくはこちら
  - Deep Security：サーバを保護（オンプレミス型）
    - Trend Micro Deep Security™
      
      物理・仮想・クラウド環境のサーバ保護
      詳しくはこちら
  - クラウドリスク管理：マルチクラウド環境の可視性を統合
    - クラウドリスク管理
      
      マルチクラウド環境の可視性を統合。潜在的なリスクを排除し安心・安全な未来の実現を支援します。
      詳しくはこちら
- エンドポイントセキュリティ
  - エンドポイントセキュリティ
    - エンドポイントセキュリティ
      
      エンドポイントとサーバのための保護対策。EDR、XDRも提供。
      詳しくはこちら
  - Trend Micro Apex One（EPP）：オンプレミス型法人向けエンドポイントセキュリティ
    - Trend Micro Apex One（EPP）
      
      多層の機能によりエンドポイントを強固に保護
      詳しくはこちら
  - Worry-Free XDR（中小企業向けEPP+EDR）：エンドポイントとメールのための脅威検出と対策
    - Worry-Free XDR（中小企業向けEPP+EDR）
      
      最新の技術と少ない人的リソースで、最新の脅威から防御
      詳しくはこちら
- ネットワークセキュリティ
  - ネットワークセキュリティ
    - ネットワークセキュリティ
      
      ネットワークでの検出と対応によるXDRの実現
      詳しくはこちら
  - 侵入防御システム：脆弱性からネットワークを保護
    - 侵入防御システム
      
      ゼロデイ攻撃を始め、既知・未知の脆弱性からネットワークを守る
      詳しくはこちら
  - Zero Trust Secure Access (ZTSA)
    - Zero Trust Secure Access (ZTSA)
      - Trend Vision One™
        
        Zero Trust Secure Access (ZTSA)
        
        デジタル資産全体にわたるアイデンティティとデバイスを評価・検証
        詳しくはこちら
    - AI Secure Access
      - Trend Vision One™
        
        AI Secure Access
        
        全ての生成AIサービス、利用者、通信の可視化と制御
        詳しくはこちら
  - 産業向けネットワークセキュリティ：ITとOTの接続によるセキュリティリスクへの対応
    - 産業向けネットワークセキュリティ
      
      ICS (産業制御システム) に最適化したセキュリティにより、稼働に対する影響を最小限に抑えながら、ネットワーク上でサイバー攻撃から保護
      詳しくはこちら
- メールセキュリティ
  - メールセキュリティ
    - メールセキュリティ
      
      フィッシング、ランサムウェア、標的型攻撃を阻止
      詳しくはこちら
  - Trend Vision One Email and Collaboration Security：フィッシング、BEC、ランサムウェア、詐欺メールに対応する、AI採用のメールセキュリティ
    - Trend Vision One™
      
      Trend Vision One Email and Collaboration Security
      
      Microsoft 365やGoogle Workspaceなどのメールサービスおよびコラボレーションアプリケーションに対するフィッシング攻撃、ランサムウェア攻撃、標的型攻撃を阻止
      詳しくはこちら
- Threat Intelligence
  - Trend Vision One™
    
    Threat Intelligence
    
    遠方から迫る脅威を予見
    詳しくはこちら
- Identity Security
  - Trend Vision One™
    
    Identity Security
    
    アイデンティティを包括的に保護
    詳しくはこちら
- データセキュリティ
  - Trend Vision One™
    
    データセキュリティ
    
    集中管理とリスク優先度付け、迅速な対応でデータ漏えいを未然に防止
    詳しくはこちら
- トレンドマイクロとAI
  - トレンドマイクロとAI
    - トレンドマイクロとAI
      
      組織を守り、コンプライアンス対応をサポートし、責任あるイノベーションを可能にするトレンドマイクロのAIセキュリティ
      詳しくはこちら
  - AIを活用したセキュリティ：見落としや予想外のサイバー攻撃を減らし、防御力を強化
    - AIを活用したセキュリティ
      
      プロアクティブサイバーセキュリティAIで、見落としや予想外のサイバー攻撃を減らし、防御力を強化
      詳しくはこちら
  - Trend Cybertron：プロアクティブサイバーセキュリティAI
    - Trend Cybertron
      
      20年以上にわたるAIイノベーションと36年にわたる業界をリードする脅威インテリジェンスの集大成
      詳しくはこちら
  - Trend Companion：セキュリティ運用を支援するAIサイバーアシスタント
    - Trend Companion
      
      大量かつ多彩なデータ、高精度の分析、キュレーション（収集、選択、共有）、分類で、重要かつ有効なインサイトを提供
      詳しくはこちら
  - AI環境向けセキュリティ：AIのビジネス活用を保護し、攻撃が表面化する前に脆弱性を排除
    - AI環境向けセキュリティ
      
      AIのビジネス活用を保護し、攻撃が表面化する前に脆弱性を排除することで、安全なAIイノベーションを促進
      詳しくはこちら
  - AIエコシステム：未来のサイバーセキュリティへ貢献
    - AIエコシステム
      
      AIイノベーション、ポリシー策定におけるリーダーシップ、標準化への寄与を通じて、未来のサイバーセキュリティへ貢献
      詳しくはこちら
  - AIファクトリー：スケーラブルなAIイノベーションの実現
    - AIファクトリー
      
      セキュリティ、コンプライアンス、信頼性を備えたエンタープライズAIの導入を加速させます。
      詳しくはこちら
  - デジタルツイン：将来を見据えた計画立案や戦略的な投資判断、組織のレジリエンスの強化を実現
    - デジタルツイン
      
      高精度なデジタルツイン技術により、将来を見据えた計画立案や戦略的な投資判断、そして組織のレジリエンスの強化が実現できます。
      詳しくはこちら
- ソブリンアンドプライベートクラウド
  - Trend Vision One™
    
    ソブリンアンドプライベートクラウド
    
    データ主権を損なうことなく、防御、検知、対応、保護を実現
    詳しくはこちら
- 製品一覧・体験版
  - 製品一覧・体験版
    詳しくはこちら
ソリューション
- 業種別
  - 業種別
    - 業種別
      詳しくはこちら
  - ヘルスケア
    - ヘルスケア
      
      ICT化や電子カルテの普及が進む中、閉じた環境での緩やかな境界防御ではなく、場面に応じたリスクマネジメントを実践していく必要があります。
      詳しくはこちら
  - 自治体
    - 自治体
      
      住民個人情報や企業経営情報などの保護に充分な対策がとられた行政業務と住民サービスが求められています。
      詳しくはこちら
  - 学校・教育委員会
    - 学校・教育委員会
      
      教育の現場におけるPCやインターネットの活用はさらなる普及が見込まれます。職員や生徒に安心安全な環境を提供しましょう。
      詳しくはこちら
  - 教育・大学
    - 教育・大学
      
      個人情報のみならず、先端技術情報など機微情報も保護する必要があります。ニューノーマル時代のICT環境セキュリティについてご紹介いたします。
      詳しくはこちら
  - 製造業
    - 製造業
      
      工場のIoT化が進むにつれてセキュリティリスクも高まっています。安全性や製品品質が重視される工場におけるセキュリティについてご紹介いたします。
      詳しくはこちら
  - 金融
    - 金融
      
      Fintechをはじめとしたサービス領域の拡大とともに、適切な情報管理と安定したサービス提供がより重要性を増しています。
      詳しくはこちら
  - コネクテッドカー
    - コネクテッドカー
      
      自動車へのセキュリティ対策が求められています。車両からモバイルネットワーク、バックエンドに至る自動車のエコシステム全体を保護することが重要です。
      詳しくはこちら
- 中堅・中小企業向けセキュリティ
  - 中堅・中小企業向けセキュリティ
    
    最新の技術と少ない人的リソースで、最新の脅威から防御
    詳しくはこちら
リサーチ
- リサーチ＆インサイト
  - リサーチ＆インサイト
    - リサーチ＆インサイト
      詳しくはこちら
  - セキュリティ情報サイト Security GO
    - セキュリティ情報サイト Security GO
      詳しくはこちら
  - セキュリティブログ
    - セキュリティブログ
      詳しくはこちら
  - Zero Day Initiatives (ZDI)
    - Zero Day Initiatives (ZDI)
      詳しくはこちら
  - リサーチペーパー
    - リサーチペーパー
      詳しくはこちら
  - Smart Protection Network
    - Smart Protection Network
      詳しくはこちら
  - サイバーリスクインデックス（CRI）
    - サイバーリスクインデックス（CRI）
      詳しくはこちら
サービス
- サービス
  - サービス
    - Trend Service One Complete
      詳しくはこちら
  - Trend Service One Complete
    - Trend Service One Complete
      
      サイバー攻撃やインシデントの発生を24時間365日監視するMDRサービスや、インシデント発生時の対処など包括的なエキスパートサービスを提供
      詳しくはこちら
  - Trend Service One Essentials
    - Trend Service One Essentials
      
      トレンドマイクロのサイバーセキュリティ専門家がサイバー攻撃やインシデントの発生を24時間365日監視
      詳しくはこちら
  - インシデント対応サービス
    - インシデント対応サービス
      
      ランサムウェアや標的型攻撃等の被害に遭われた際、インシデント対応の専門家が一刻も早い業務復旧に向けた支援を実施
      詳しくはこちら
パートナー
- パートナープログラムのご紹介
  - パートナープログラムのご紹介
    - パートナープログラムのご紹介
      
      パートナーさま向け各支援プログラムをご紹介します。
      詳しくはこちら
  - サービスプロバイダー（MSP）
    - サービスプロバイダー（MSP）
      
      MSP、MSSP、DFIRのために設計されたパートナーさま主体のセキュリティプラットフォームにより、プロアクティブなセキュリティサービスを提供します。
      詳しくはこちら
  - Marketplace Partner
    - Marketplace Partner
      
      Marketplaceを活用したビジネス展開のためのパートナープログラムをご紹介します。
      詳しくはこちら
- アライアンスパートナー
  - アライアンスパートナー
    - アライアンスパートナー
      
      トレンドマイクロは各社とのアライアンスに基づき、お客さまがパフォーマンスと価値を最適化できるよう最善の支援を提供します。
      詳しくはこちら
  - アライアンスパートナーを探す
    - アライアンスパートナーを探す
      
      トレンドマイクロのアライアンスパートナーを検索・紹介するページです。
      詳しくはこちら
- パートナーさま向けコンテンツ
  - パートナーさま向けコンテンツ
    - パートナーさま向けコンテンツ
      
      パートナーさまのビジネス拡大を支援するため、パートナーポータルにおいて様々なコンテンツ・各種支援をご提供しております。
      詳しくはこちら
  - Trend Campus
    - Trend Campus
      
      一人ひとりに最適化された技術支援を簡単操作で体験できる学習プラットフォームです。
      詳しくはこちら
  - パートナーになる
    - パートナーになる
      
      お客さまがお求めのトレンドマイクロ製品およびサービスを提供していただけるパートナーをお探しいただけます。
      詳しくはこちら
  - 流通パートナー
    - 流通パートナー
      詳しくはこちら
  - セキュリティトレーニング
    - セキュリティトレーニング
      
      セキュリティエキスパートによるトレーニングプログラムをご紹介します。
      詳しくはこちら
- パートナーをお探しのお客さまへ
  - パートナーをお探しのお客さまへ
    - パートナーをお探しのお客さまへ
      詳しくはこちら
  - リセラーパートナーを探す
    - リセラーパートナーを探す
      
      トレンドマイクロの製品・サービスを提供しているパートナーを掲載しています
      詳しくはこちら
  - MSPパートナーを探す
    - MSPパートナーを探す
      
      トレンドマイクロの製品に対応したマネージドセキュリティサービス展開を行うパートナーを掲載しています。
      詳しくはこちら
  - CSPパートナーを探す
    - CSPパートナーを探す
      
      クラウド環境へトレンドマイクロ製品を使ったサービス展開を行うパートナーを掲載しています。
      詳しくはこちら
  - トレンドマイクロSaaS製品取扱いパートナーを探す
    - トレンドマイクロSaaS製品取扱いパートナーを探す
      
      「Trend Micro マネージドサービス事業者ライセンス」を通じて、トレンドマイクロのクラウド型製品をパートナーが自社サービスと組み合わせて提供しているパートナーを掲載しています。
      詳しくはこちら
会社概要
- Why Trend Micro
  - Why Trend Micro
    - Why Trend Micro
      詳しくはこちら
  - トレンドマイクロの特長
    - トレンドマイクロの特長
      詳しくはこちら
  - コアテクノロジー
    - コアテクノロジー
      詳しくはこちら
  - 業界における評価
    - 業界における評価
      詳しくはこちら
- 導入事例
  - 導入事例
    
    トレンドマイクロのお客様がどのようにして脅威を予測、防御、検知し、対応しているかについて、事例をご紹介します。
    詳しくはこちら
- 会社概要
  - 会社概要
    - 会社概要
      詳しくはこちら
  - セキュリティへの取り組み
    - セキュリティへの取り組み
      詳しくはこちら
  - 企業理念・沿革
    - 企業理念・沿革
      詳しくはこちら
  - サイバーセキュリティ・イノベーション研究所
    - サイバーセキュリティ・イノベーション研究所
      サイバーセキュリティ・イノベーション研究所
  - ダイバーシティ・エクイティ＆インクルージョン
    - ダイバーシティ・エクイティ＆インクルージョン
      詳しくはこちら
  - Sustainability & CSR
    - Sustainability & CSR
      詳しくはこちら
  - エグゼクティブ一覧
    - エグゼクティブ一覧
      詳しくはこちら
  - インターネットの安全とサイバーセキュリティ教育
    - インターネットの安全とサイバーセキュリティ教育
      詳しくはこちら
  - マクラーレン・フォーミュラ1
    - マクラーレン・フォーミュラ1
      詳しくはこちら
  - Privacy and Legal
    - Privacy and Legal
      詳しくはこちら
  - トランスペアレンシーセンター
    - トランスペアレンシーセンター
      詳しくはこちら
- ニュース、投資家向け情報、採用情報
  - ニュース、投資家向け情報、採用情報
    - ニュース、投資家向け情報、採用情報
      詳しくはこちら
  - プレスリリース
    - プレスリリース
      詳しくはこちら
  - 投資家向け情報
    - 投資家向け情報
      詳しくはこちら
  - 採用情報
    - 採用情報
      詳しくはこちら
  - イベント・セミナー
    - イベント・セミナー
      詳しくはこちら
  - ウェビナー
    - ウェビナー
      詳しくはこちら
  - お知らせ
    - お知らせ
      詳しくはこちら

個人のお客さまはこちら

お問い合わせ

購入・更新

サポート

リソース

ログイン

arrow_back

search close

クロスサイトスクリプティング(XSS)とは？

Jon Clay

- 最終更新日 2025/11/25

クロスサイトスクリプティング（XSS）とは、検索エンジン、ログインフォーム、掲示板など、ユーザからの入力を受け付けるWebサイトやWebアプリケーションに多く見られるセキュリティ上の脆弱性です。

詳しくはこちら

keyboard_arrow_down

攻撃者は、入力欄などの脆弱な機能に対し、実行可能な不正コードを入力することでこの脆弱性を悪用します。これにより、Webサイトのコンテンツに不正コードが埋め込まれ、サイトを閲覧した一般ユーザのブラウザ上でそのコードが実行されて被害が発生します。コード自体はWebサイトの正規の構成要素ではありませんが、訪問者の画面上ではサイトの一部であるかのように振る舞うため、ユーザは正規のサイト上で侵害が発生しているとは気づきにくくなります。

攻撃者はこの脆弱性を利用して、Webサイトの制御権を奪ったり、サーバやソフトウェアにある他の脆弱性を突いてさらなる攻撃を行ったりすることがあります。

XSSの仕組み

1.攻撃者は標的のWebサイトを調査し、ユーザからの入力を受け付ける脆弱な箇所（検索バー、ログインフォーム、コメント欄など）を特定します。

2.特定した箇所に不正なコードを入力します。このコードは通常、HTMLやJavaScriptなどで記述されています。

3.入力された不正コードは、検索結果画面やコメント表示欄などのWebページ生成時に埋め込まれ、そのページの一部として動作するようになります。

4.攻撃手法によっては、Webページのファイル自体は改ざんされず、ユーザが閲覧した瞬間（特定の条件下）だけ不正なコードが実行される場合もあります。これにより、Webサイトのサーバ側には痕跡を残さず、ユーザのブラウザ上でのみ攻撃を成立させることが可能になります。

ユーザは、攻撃者が用意した罠のリンクをクリックしたり、改ざんされた掲示板を閲覧したりするだけで被害者となります。

実行される不正コードの影響は、画面に奇妙な画像を表示するだけのいたずらレベルから、深刻な被害をもたらすものまで様々です。例えば、悪意あるサイトへの強制転送（リダイレクト）、不正ファイルの自動ダウンロード、さらにはログイン情報やセッション情報の窃取などが挙げられます。特に、ID・パスワードやCookie（セッション情報）の窃取は、なりすまし被害に直結するため危険です。

XSSが危険な理由

XSSが悪用されると、ユーザが信頼している正規のWebサイトが攻撃の踏み台となり、訪問者に被害を与えてしまいます。これにより、被害者だけでなく、Webサイト運営者の社会的信用も大きく損なわれます。

侵害されたサイトは、不適切なコンテンツの表示や不正プログラムのダウンロードなど、ユーザに対して様々な脅威をもたらす「危険なサイト」へと変貌してしまいます。

ユーザと管理者ができる対策

XSSは危険ですが、適切な対処法があります。Webサイト管理者は、ユーザからの入力データを画面に表示する前に、スクリプトとして動作しないように変換する処理を徹底する必要があります。

これにより、不正コードの埋め込みを防げます。一方、ユーザ側では、ブラウザのスクリプト実行設定を見直したり、不審なリンクを安易にクリックしないよう注意したりすることが重要です。

Webサイト管理者が実施すべき対策

ユーザからの入力を受け付ける全てのページで、HTMLやJavaScriptなどのコードがそのまま実行されないようフィルタリング処理を実装する。

定期的にWebアプリケーションの脆弱性診断を行い、発見された問題に対して修正パッチを適用する。

Webサイトの基盤となるサーバやソフトウェアを常に最新の状態に保ち、既知の脆弱性を解消する。

ユーザができる対策

ブラウザの設定で、信頼できないサイトでのJavaScript実行を無効にする。

不審なメールや掲示板の書き込みに含まれるリンクは、罠の可能性があるためクリックしない。

Webサイトへのアクセスは、リンク経由ではなく、ブックマークやURLの直接入力から行う。

OSやブラウザなどのソフトウェアを定期的に更新し、脆弱性を修正しておく。

XSS攻撃の種類

Webセキュリティの国際団体OWASPによると、XSS攻撃は大きく分けて「反射型XSS」「格納型XSS」「DOMベースのXSS」の3種類に分類されます。

1.反射型XSS（Reflected XSS）／非持続型

攻撃者が用意した悪意あるスクリプトを含むリクエストをWebアプリケーションに送信させ、そのスクリプトをサーバがそのまま「反射」してブラウザに返すことで発生する攻撃です。被害者のブラウザ上で不正スクリプトが実行され、個人情報などが攻撃者に送信されてしまいます。

攻撃者は不正なリンクを含むメールをばら撒く手法をよく使います。検索結果ページやエラーメッセージなど、入力内容がそのまま画面に表示されるページが狙われます。ユーザがリンクをクリックすると、サーバはリクエストに含まれる不正スクリプトを受け取りますが、それを保存することなく、そのままレスポンスとしてユーザに送り返します。ユーザからの入力を適切に検証・無害化（サニタイズ）せずに表示している場合に、この脆弱性が発生します。

基本的な対策は、入力値の検証とフィルタリングです。許可リストや拒否リストを用いて、危険な文字列やパターンを排除します。

また、CSP（Content Security Policy）を導入することで、ブラウザが実行を許可するスクリプトのソースを厳格に制限し、不正なスクリプトの実行を阻止できます。

2.格納型XSS（Stored XSS）／持続型

格納型XSS（または蓄積型XSS）では、攻撃者が送り込んだ悪意あるスクリプトがWebサーバ上のデータベースなどに保存（格納）されます。攻撃者は、掲示板やブログのコメント欄などを通じて不正なスクリプトを投稿し、サーバに永続的に保存させます。

その後、一般ユーザがそのページを閲覧するたびに、サーバから保存されたスクリプトが配信されて実行されます。被害が継続的に発生し、不特定多数のユーザに影響が及ぶため危険です。開発者がデータベースからのデータ出力時に適切な無害化処理を行っていない場合、この脆弱性が発生します。

防御策としては、入力データのサニタイズ（無害化）を徹底し、ユーザからのデータを慎重に扱うことが基本です。また、Webフレームワークが提供するパラメータバインディング機能を適切に使用することも有効です。

HTMLエンコーディング（エスケープ処理）を行うことで、ブラウザがデータをスクリプトとして実行しないように変換します。特殊文字を「タグ」としてではなく「文字」として扱うように変換することで、スクリプトの実行を阻止します。

データパラメータ（データ）のバインドはベクトルによって異なりますが、関数の通常の機能以外の追加値として変数を常に渡すことができます。適切なレスポンスヘッダの設定など、数行のコード修正で防げる場合もあります。

リアルタイムで攻撃を検知・ブロックするセキュリティ製品の導入も有効です。

Webアプリケーションファイアウォール（WAF）を導入すれば、XSS攻撃の通信を検知し、遮断することができます。

3.DOMベースのXSS（DOM Based XSS）

DOM（Document Object Model）は、ブラウザ上でWebページの構造や内容を動的に操作するための仕組みです。DOMベースのXSSは、サーバ側ではなく、ブラウザ上のJavaScript（DOM）の処理の不備を突いて行われる攻撃です。

反射型や格納型とは異なり、不正なスクリプトがサーバまで届かず、ブラウザ内だけで完結する場合があるのが特徴です。サーバ側を経由しないため、従来のサーバ型WAFや脆弱性スキャナでは検知が難しく、対策が困難な場合があります。

防ぐには、JavaScriptコード内でのデータの取り扱いに注意し、適切に無害化を行う必要があります。

具体的には、ユーザからの入力データが、スクリプトを実行可能な危険な箇所にそのまま渡されないように制御する必要があります。ブラウザの標準機能などを活用してデータを無害化し、不正なコードが実行されるのを防ぎます。

また、「Trusted Types」という新しいブラウザセキュリティ機能を活用することで、安全性が確認されたデータのみをDOM操作に使用するよう強制することも有効です。これにより、コードとデータを明確に区別し、意図しないスクリプト実行を根本から防ぐことができます。

サーバ側のXSSとクライアント側のXSSの比較

XSSは、脆弱性が存在する場所によって「サーバ側」と「クライアント側」に分類できます。クライアント側のプログラムは、クライアントのデバイスまたはブラウザで実行され、ユーザインタフェースと、クライアントのデバイスで行われるその他の処理を処理します。サーバ側のプログラムはサーバ上で動作し、Webページの内容を作成します。

サーバ側のXSSは、すべてのサーバ側のコードに脆弱性であり、ブラウザが応答をレンダリングし、それに埋め込まれた正当なスクリプトを実行する場合に発生します。一方、クライアント側のXSSはユーザのデバイスで実行され、ロード後にWebページが変更されます。

XSS攻撃は、HTMLが存在する場所であればどこでも可能です。保存、反映、DOMベースのいずれの攻撃でも、すべてのXSS攻撃に同じ影響があります。攻撃者はWebセッションを完全に制御できます。

これらのXSS攻撃は重複する場合があり、Webサイトは3つすべてを同時に脆弱である可能性があります。単一のWebサイトまたはオフラインアプリケーションの場合、3つの攻撃タイプすべてがブラウザに直接存在する可能性があります。ただし、データがサーバ上に保存される場合とサーバから反映される場合とでは、動作が異なる場合があります。

Trend Vision One™ プラットフォームソリューション

トレンドマイクロのXDR（Extended Detection and Response）は、エンドポイント、メール、サーバ、クラウド、ネットワークなど、あらゆるレイヤからデータを収集・分析します。AIと最新の脅威インテリジェンスを活用し、隠れた脅威を迅速に検知・対処することで、全方位的なセキュリティ管理を実現します。

さらに、事後対処だけでなく、平時からリスクを可視化・評価・軽減し、攻撃を未然に防ぐ「アタックサーフェスリスクマネジメント」も、この単一プラットフォームで提供します。