検索
連載

クロスサイトリクエストフォージェリ(CSRF)とは

クロスサイトリクエストフォージェリ(CSRF)とは、閲覧者が意図しない間に別のWebサイトに、サーバが本来拒否すべきHTTPリクエストを送信させ実行させる攻撃手法のことを指す。

Share
Tweet
LINE
Hatena

 クロスサイトリクエストフォージェリ(CSRF)とは、閲覧者が意図しない間に別のWebサイトに、サーバが本来拒否すべきHTTPリクエストを送信させ実行させる攻撃手法のことを指す。

 攻撃者は、細工したリクエストを発生させるよう仕込んだ“わな”サイトを用意し、閲覧者がアクセスするよう誘導する。閲覧者がその“わな”サイトにアクセスすると、例えば掲示板などでは、意図しない書き込みが行われる。ログイン処理が必要なサービスでは、正規のアカウントでログインされた状態で購入操作や退会処理などの操作が可能になってしまう。この場合、細工されたリクエストを送信するのは閲覧者となるため、攻撃元の特定が難しくなる。

 CSRFでは、攻撃者が予測できてしまう内容のみでリクエストが構成されている場合に攻撃が成立するため、攻撃者が予測できないような情報をリクエストに含めてWebアプリケーション側で検証することで、攻撃を未然に防ぐことができる。

 Webアプリケーション開発時の対策として、情報を送信する際に一意に識別できる情報としてトークンを含めることが望ましい。このとき、トークンは推測可能な情報で生成するのではなく、容易に推測できない安全な疑似乱数などを用いる。Webフレームワークにトークンを生成するライブラリが用意されていることが多いため、それらを利用することで容易に実装できる。

関連用語

クロスサイトスクリプティング

■更新履歴

【2004/1/1】初版公開。

【2018/9/3】最新情報に合わせて内容を書き直しました(セキュリティ・キャンプ実施協議会 著)。


Copyright © ITmedia, Inc. All Rights Reserved.

Security & Trust 記事ランキング

  1. ランサムウェア攻撃を受けた企業、約6割が「サプライチェーンのパートナー経由で影響を受けた」 OpenText調査
  2. 長続きする高度セキュリティ人材育成の秘訣を「第19回情報危機管理コンテスト」から探る
  3. セキュリティ専門家も「何かがおかしいけれど、攻撃とは言い切れない」と判断に迷う現象が急増 EGセキュアソリューションズ
  4. インサイダーが原因の情報漏えいを経験した国内企業が約3割の今、対策における「責任の所在」の誤解とは
  5. OpenAIの生成AIを悪用していた脅威アクターとは? OpenAIが脅威レポートの最新版を公開
  6. セキュリティ担当者の54%が「脅威検知ツールのせいで仕事が増える」と回答、懸念の正体とは? Vectra AI調査
  7. 人命を盾にする医療機関へのランサムウェア攻撃、身代金の平均支払額や損失額は? 主な手口と有効な対策とは? Microsoftがレポート
  8. 米国/英国政府が勧告する25の脆弱性、活発に悪用されている9件のCVEとは、その対処法は? GreyNoise Intelligence調査
  9. AIチャットを全社活用している竹中工務店は生成AIの「ブレーキにはならない」インシデント対策を何からどう進めたのか
  10. 「このままゼロトラストへ進んでいいの?」と迷う企業やこれから入門する企業も必見、ゼロトラストの本質、始め方/進め方が分かる無料の電子書籍
ページトップに戻る