化学があまりにも歯が立たないため(料理と同じはずなのに!!)、もう一つの得意分野候補である通信関係の特許の対訳を取り始めました。お題はマイクロソフトのクロスサイトスクリプティングフィルタに関する特許です。いくつか気になる箇所があり、自分だったらこうかな?と訳を見直しています。
クロスサイトスクリプティングフィルタ-マイクロソフト株式会社(公開番号2015-053070)
クロスサイトスクリプティングとは
そもそもクロスサイトスクリプティングとは何でしょうか。掲示板やアンケート等、入力フォームによってWebページが動的に生成されるようなWebサイトの脆弱性をついてWebアプリケーションが仕掛け、ユーザーの入力で悪意のある命令(スクリプト)を実行し偽サイトに飛ばすなどの攻撃手法のことです。IPAの説明が分かりやすいかと思います。
クロスサイト・スクリプティング – IPA 独立行政法人 情報処理推進機構
個人情報や機密情報が漏洩したり、サイトが書き替えられる、ECサイトの場合は勝手に買い物されたりといった被害があるようです。
下記の記事は2010年にYouTubeのコメントシステムが攻撃された事例です。コメントが表示されなくなったり、デマニュースのウィンドウがポップアップしたりといった被害がありました。Googleは発生から2時間で対応したとのことです。
YouTubeにXSS攻撃、不正ポップアップなどの被害広がるーITmedia エンタープライズ
折り返し型vs反射型
クロスサイトスクリプティングには3種類の型があるのですが、この特許はそのうちの1つのタイプが対象になっています。それが”reflected cross-site scripting(XSS)”なのですが、対訳は「折り返し型クロスサイトスクリプティング」となっています。この表現が妥当なのかを調べてみました。
結論から言うと、「折り返し型」「反射型」双方を併記しているものもあるので、どちらも正解のようです。
一定の権威があると言えそうな、JPCIRT/CC(情報セキュリティに関する日本国内の情報を収集し分析・対策の検討等の活動をしている組織)では「反射型クロスサイトスクリプティング」を採用しています。
マイクロソフトは「折り返し型」を使用しているので、マイクロソフトの表記にならったのかも知れません。
マイクロソフトセキュリティ情報には、この脆弱性は「折り返し型 XSS の脆弱性」と記載されています。
まとめと反省
クロスサイトスクリプティングは情報処理技術者試験のときに勉強したのですが、定義があいまいだったので再確認できました。情報セキュリティ業界の用語の使い方だけでなく、特許明細書としての言い回しもこれから頭に入れたいと思います。あと、調査に時間がかかりすぎなのでもっとスピードを上げていきたいです。
気になった点は他にもあるので、続けて書くつもりです。というか、まだまだ終わらない。