CSRFとは?ざっくりと3行で
- ユーザーのログイン状態を悪用して、本人の意思とは無関係に勝手に重要な処理を実行させる攻撃手法のことだよ。
- 罠サイトを閲覧しただけで、意図しない送金や商品購入、退会手続きなどが実行されてしまうんだ。
- 開発時に「CSRFトークン」などの対策を実装すると、なりすましによる誤操作や不正利用を未然に防げるよ。
【深掘り】これだけ知ってればOK!
クロスサイトリクエストフォージェリ(CSRF:シーサーフ)は、ユーザーがWebサービスにログインしている隙を突く攻撃です。攻撃者はユーザーを罠サイトに誘導し、そこからこっそりと正規のWebサービスへリクエスト(命令)を送信させます。サーバー側は「ログイン済みの正しいユーザーからの命令」だと判断してしまうため、パスワードを知らなくても処理が実行されてしまうという特徴があります。
会話での使われ方
このフォームの実装、CSRF対策のトークンが埋め込まれていないので修正が必要です。
決済処理のような重要なアクションでは、CSRFを防ぐために再認証を挟むようにしましょう。
Laravelなどのフレームワークを使えば、デフォルトでCSRF保護が有効になっているから安心だよ。
【まとめ】3つのポイント
- 偽造された委任状:本人が知らない間に、勝手にハンコを押した書類を出されるようなもの。
- 意図しない操作の防止:ユーザーが気付かない間に行われる「勝手な投稿」や「設定変更」を防ぐ役割。
- 信頼性の担保:対策を怠ると、ユーザーに犯罪予告の書き込みをさせたり、金銭的被害を与えたりする致命的なリスクがある。
よくある質問
-
Qクロスサイトリクエストフォージェリはいつ使うのがベストですか?
-
A「使う」ものではなく「防ぐ」ものです。Webアプリケーションでデータの登録・更新・削除を行う機能(POSTリクエストなど)を実装する際、必ず対策コードを組み込む必要があります。
-
Qクロスサイトリクエストフォージェリ対策を失敗させないコツはありますか?
-
A独自に対策コードを書こうとせず、利用しているWebフレームワークが提供する標準の対策機能を利用するのが最も安全で確実です。
-
Qクロスサイトリクエストフォージェリの具体例は何ですか?
-
A掲示板への大量の書き込み、オンラインバンキングでの不正送金、SNSアカウントの乗っ取り、ECサイトでの勝手な商品購入などが挙げられます。
-
Qクロスサイトリクエストフォージェリとクロスサイトスクリプティング(XSS)との違いは何ですか?
-
ACSRFは「勝手に処理を実行させる」攻撃で、XSSは「偽のスクリプトを動かして情報を盗んだり画面を改ざんしたりする」攻撃という違いがあります。
この用語と一緒に知っておきたい用語
| 用語 | この記事との関連 |
|---|---|
| クロスサイトスクリプティング | CSRFとXSSは攻撃経路が異なるWebアプリの二大脆弱性で、対策も別々に必要 |
| Cookie | CSRF攻撃はユーザーのCookieを悪用してログイン済みセッションを乗っ取る手口 |
| サニタイジング | 入力データの無害化処理でCSRF対策と併用されるセキュリティ手法 |
| プリペアドステートメント | SQLインジェクション対策として知られるが、CSRFと組み合わせて多層防御を構築する |
よくある誤解
ログアウトしていれば安全、というわけではない
CSRFはログイン中のセッションを悪用する攻撃ですが、多くのWebサービスはブラウザを閉じてもセッションが維持される「ログイン保持」機能を持っています。明示的にログアウトしていなければ、知らない間にセッションが有効なままになっているケースは珍しくありません。
SSL/HTTPSだけでは防げない
HTTPSは通信経路の暗号化であり、正規ユーザーのブラウザから送信されるリクエスト自体を検証する機能はありません。CSRF対策にはトークンの埋め込みやSameSite Cookie属性の設定など、アプリケーション層での対策が別途必要です。
コメント