■クロスサイト・リクエスト・フォージェリ(Cross Site Request Forgeries)
Webアプリケーションの実装に起因する脆弱性の1つ。推測可能な特定の機能を実行するときのHTTPリクエスト(URLや必要なパラメータなど)を攻撃者が悪用し、ユーザーの意図に反してその機能を実行させる攻撃手法。
細工されたURLリンクをクリックしたり、Webサイトにアクセスしたりすることで、掲示板に書き込みが行われるなどしてしまう。場合によっては、Webサイトのパスワードが変更されたり、オンライン・ショッピングで買い物をさせられたりする危険性もある。
実際にクロスサイト・リクエスト・フォージェリ(以下CSRF)が実行された例として、ソーシャル・ネットワーキングサイトの「mixi」で起きた「はまちちゃん」事件が有名だ。mixi内のURLリンクをクリックすると、自動的に「ぼくはまちちゃん!」というタイトルの日記が自分のページに追加されてしまうというものだ。mixiにログインしているユーザーが、細工されたURLをクリックすると、「ぼくはまちちゃん!」という日記を追加するコマンドを実行するように仕掛けられていた。Webサーバ側から見れば、ログイン済みの正規のユーザーが日記を書き込むコマンドを実行したのと同じことであるため、ユーザーのページに「ぼくはまちちゃん!」という日記が追加された。「はまちちゃん」事件では、追加された日記にも細工されたURLが仕掛けられたため、連鎖的に「ぼくはまちちゃん!」というタイトルの日記がmixi上に公開されることになった。
「はまちちゃん」事件でも分かるようにCSRFは、ソーシャル・エンジニアリングを利用して巧みな攻撃を仕掛ける。そのため、ユーザーが仕掛けを見破って避けることは難しい。サイト側でCSRFを防ぐには、ユーザーが想定したとおりにページを移動していることを確認できるようにCookieを工夫する、リクエストがどこのWebページから発行されたものかをリファラーで確認する、といった方法があるが、ユーザーの利便性を考慮すると完全に防ぐのは難しい。
・セキュリティ用語 ソーシャル・エンジニアリング:
http://www.hotfix.jp/archives/word/2004/word04-05.html
|