ざっくりと
- ユーザの意図しない操作を引き起こす
- 偽のリクエストを送信する攻撃
- 適切な防御策を講じることで防ぐことが可能
クロスサイトリクエストフォージェリ(Cross-Site Request Forgery)=クロスサイト要求偽装
概要説明
クロスサイトリクエストフォージェリとは不正なリクエストを送信する攻撃である。 なぜならば攻撃者がユーザーの権限を悪用するからだ。
例えば、ユーザーがログイン状態のときに攻撃者がそのセッションを使ってリクエストを送ることができる。 そして、これによりユーザーの知らない間に意図しない操作が行われることがある。
つまり、ユーザー自身が操作していないのに、システムはユーザーからのリクエストと誤認して処理を行ってしまう。 だから、常に最新のセキュリティ対策を取ることが重要である。
職業職種
ウェブ開発者
クロスサイトリクエストフォージェリは、開発フェーズで考慮すべきリスクである。なぜなら、開発者がセキュリティ対策を組み込むことで防げる攻撃であるからだ。例えば、一意のCSRFトークンを使用することでリクエストの真正性を確認できる。システム管理者
クロスサイトリクエストフォージェリは、システムのセキュリティ構造を理解し、適切な防御策を採用するための重要な概念である。なぜなら、攻撃者がユーザーの認証情報を悪用して権限を侵害する可能性があるからだ。例えば、レギュラーユーザーとアドミニストレーターセッションを分離することで、リスクを軽減することができる。セキュリティアナリスト
クロスサイトリクエストフォージェリは、システムの脆弱性を評価し、対策を提案するための知識である。なぜなら、それがどのように機能し、どのように防御するかを理解することで、より効果的な防御策を設計できるからだ。例えば、リクエストの真正性を確認するための仕組みを導入したり、セキュリティポリシーを改善したりする。
「クロスサイトリクエストフォージェリ」の名前の由来は、この攻撃がクロスサイト(つまり、異なるウェブサイト間)で行われ、また、リクエストがフォージ(偽造)されることから来ています。
代表例
- Facebook
Facebookは、クロスサイトリクエストフォージェリ対策に力を入れている。なぜなら、彼らのユーザーのプライバシーと情報保護が重要だからだ。例えば、一意のCSRFトークンを使用し、ユーザーセッションを安全に保つ対策を講じている。 - Google
Googleは、クロスサイトリクエストフォージェリ対策のリーダーである。なぜなら、彼らの多くのサービスがウェブベースであるため、CSRF攻撃に対して特に脆弱だからだ。例えば、Googleは多要素認証や安全な認証トークンの使用など、多くのセキュリティ対策を実装している。 - OWASP
OWASPは、クロスサイトリクエストフォージェリに関する情報を提供している組織である。なぜなら、彼らの目標はウェブアプリケーションのセキュリティを向上させることだからだ。例えば、OWASPのウェブサイトでは、CSRFの防止ガイドラインやチュートリアルが提供されている。
手順例
ユーザー認証情報の取得
ユーザー認証情報の取得は、第一のステップである。なぜなら、攻撃者はこの情報を使ってユーザーになりすますため。例えば、フィッシング攻撃やソーシャルエンジニアリングを利用。偽装したリクエストの生成
偽装したリクエストの生成は、次のステップである。なぜなら、攻撃者はこのリクエストを使ってシステムに対して意図しない動作を行わせるため。例えば、攻撃者は偽装したリクエストを含むウェブページを作成。ユーザーの誘導
ユーザーの誘導は、重要な手順である。なぜなら、攻撃者はユーザーを偽装したリクエストが含まれるウェブページに誘導しなければならないから。例えば、電子メールやSNSを利用してユーザーを誘導。リクエストの送信
リクエストの送信は、最終手順である。なぜなら、ユーザーが偽装したウェブページを訪れたとき、ブラウザは自動的に偽装リクエストを送信するから。例えば、ユーザーがリンクをクリックすると、不正なリクエストが送信される。
クロスサイトリクエストフォージェリをやってはダメです。
類似語
- セッションライディング
セッションライディングは、クロスサイトリクエストフォージェリと類似の攻撃手法である。なぜなら、両者ともに他のユーザーのセッションを乗っ取ることを目指しているから。例えば、ユーザーがログインした状態で悪意のあるリンクをクリックすると、そのユーザーのセッションが乗っ取られる可能性がある。
反対語
- セッション強化
セッション強化は、クロスサイトリクエストフォージェリの反対の概念である。なぜなら、クロスサイトリクエストフォージェリがセッションの弱点を利用するのに対し、セッション強化はセッションの安全性を向上させることを目指しているから。例えば、セッションIDのランダム化やHTTPSの導入などがある。
会話例
セキュリティオーディット時
Q.「このサイトはクロスサイトリクエストフォージェリから保護されていますか?」
A.「はい、我々はCSRFトークンを用いて、各セッションを保護しています。」エンドユーザーの質問時
Q.「クロスサイトリクエストフォージェリとは何ですか?」
A.「それは攻撃者がユーザーのブラウザを悪用し、無意識のうちに不正なリクエストを送信させる一種の攻撃手法です。」開発者間の対話時
Q.「新しく作成したこの機能は、クロスサイトリクエストフォージェリに対して安全ですか?」
A.「そうだよ、各リクエストに一意のCSRFトークンを付与して、その対策を取っているよ。」
注意点
クロスサイトリクエストフォージェリを使用する時の注意点はセキュリティ対策の存在である。 なぜならば現代のウェブアプリケーションは多くの場合、CSRF攻撃に対する防御策を講じているからだ。
例えば、一つのセッションに対して一意のCSRFトークンを発行することである。 そして、これらのトークンはリクエストと一緒に送信され、サーバー側で検証される。
だから、これらの防御策を回避できなければ、攻撃は成功しない。
CSRFトークン(Cross-Site Request Forgeryトークン)とは、ウェブアプリケーションがクロスサイトリクエストフォージェリ(CSRF)攻撃から自身を保護するために使用するセキュリティ対策です。
コメント