IT/Web/マーケティング用語辞典

更新:2020年3月14日

くろすさいとりくえすとふぉーじぇり

クロスサイトリクエストフォージェリ / XSRF

webアプリケーションの脆弱性の1つ、その脆弱性を利用した攻撃のこと

別名
英字

POINTクロスサイトリクエストフォージェリ / XSRFとは

クロスサイトリクエストフォージェリとは、webアプリケーションの脆弱性の1つ、また、その脆弱性を利用した攻撃のことです。クロスサイトリクエストフォージェリの攻撃を受けると、脆弱性のあるwebアプリケーションは本来拒否すべきリクエストを十分検証しないまま処理してしまい、ユーザーが意図しない動作をおこなってしまいます。被害例としては、情報漏洩やなりすましによる犯罪予告などが挙げられます。

クロスサイトリクエストフォージェリはXSRF、また、 CSRFと呼ばれることがあり、CSRFはシーサーフと読まれることもあります。

クロスサイトリクエストフォージェリの攻撃の仕組み

webブラウザは、通常、サイトのリクエストに応じてCookieやBasic認証データなどをwebサーバに送信して認証し、脆弱性のあるwebアプリケーションは、ブラウザから自動的に得られる認証データのみを用いてユーザーやセッションを管理します。クロスサイトリクエストフォージェリでは、この認証データを利用して攻撃をおこないます。

例えば、特段の対策がとられていない webアプリケーションでは、HTTPリクエストに伴い送られてきたCookieに正規のセッションIDが入っていさえすれば、それはユーザーが送ったものであると判断し処理してしまいます。こうして、攻撃者はユーザーの意志に反したリクエストを送信し実行させることで、ユーザーの個人情報を盗むだけでなく、ユーザーになりすまして犯罪行為をおこなうことができるという仕組みです。

クロスサイトリクエストフォージェリの攻撃の流れ

クロスサイトリクエストフォージェリは、webアプリケーションにユーザーが意図しない操作を実行させてしまう攻撃です。
主な攻撃の流れとしては、

①攻撃用のwebページを作成し、ユーザーを誘導する
②ユーザーが攻撃用のwebページにアクセスすると、不正なリクエストがユーザーのサーバに送られる
③攻撃されたサーバ上のwebアプリケーションは不正なリクエストを処理し、ユーザが意図していない処理がおこなわれる

というものになります。
こうすることで、クロスサイトリクエストフォージェリの攻撃者は、自分が直接攻撃サーバにアクセスすることなく攻撃したユーザーのwebアプリケーションに任意の処理をおこなうことができ、なりすましなどが可能です。

クロスサイトリクエストフォージェリの影響・被害

クロスサイトリクエストフォージェリの影響・被害として大きく3つ挙げます。

①攻撃された被害者になりすまし、不正サイトへの誘導や犯罪予告などのいたずら書き込みがおこなわれることがあります。このような犯罪は攻撃された一般ユーザーに直接的な被害はありませんが、クロスサイトリクエストフォージェリの仕組みによりユーザーが犯罪者として誤認されてしまう恐れもあります。

②DDoS攻撃に利用される可能性もあります。DDoS攻撃とは、ある特定のサイトに多数のユーザーからリクエストを同時に発生させ、そのサイトを機能不全に追い込む攻撃のことです。

③個人情報が漏洩するリスクもあります。SNSやオンラインサービスから個人データやアカウント情報が盗まれたり、ユーザーの意図しない決済や送金などがおこなわれたりこともあります。

クロスサイトリクエストフォージェリに対する対策

クロスサイトリクエストフォージェリに対する対策として、ユーザー側・web管理者側・IT管理者側の3つの立場での対策について説明します。

①ユーザ側の対策としては、攻撃用Webページにアクセスしないことが第一です。セキュリティ対策製品などを用いて、攻撃用Webページが置かれている不正サイトへのアクセスをブロックしたり、電子メール内やインターネット上の信頼のないURLを安易にクリックしないようにしたりします。

②web管理者側の対策としては、webアプリケーションを、サイト外からのリクエストを受信・処理しないようにシステム設計することが挙げられます。CookieやBasic認証のみの簡単な認証方法でなく、例としては、セッションID、ページトークン、ランダムな数字などを組み合わせて認証をおこなうようにします。
また、画像化した文字列を入力させるキャプチャ機能を実装することで、人間でない不正なソフトウェアからのアクセスを防ぐこともできます。

③IT管理者側の対策として、総合的なセキュリティソフトを導入し、常に最新の状態にするという対策があります。セキュリティソフトには、不正サイトへの誘導を目的とした攻撃メールの受信をブロックしたり、ネットワーク内部から外部不正サイトへのアクセスをブロックしたりする機能があり、ユーザーがクロスサイトリクエストフォージェリの攻撃用webページにアクセスすることを防ぐことができます。

webアプリケーションの脆弱性を突く「XSS」攻撃との違い

クロスサイトリクエストフォージェリと同様に、webアプリケーションの脆弱性を突いた攻撃手法として、「XSS」攻撃というものがあります。

XSSは、クロスサイトスクリプティングの略称で、XSS脆弱性のある不正なwebページにユーザーを誘導し、webページを閲覧したユーザー環境で不正なスクリプトを実行するという攻撃手法です。XSS攻撃を受けると、不正プログラムの感染やフィッシング詐欺、Cookie情報の取得によるセッションハイジャック、情報漏洩などの被害につながります。

XSRFとXSSの2つの攻撃手法は、不正な処理が実行される場所と実行の際にwebのアプリ認証が必要か否かという点で異なります。
XSRFは、攻撃された一般ユーザのwebアプリケーション、XSSではwebアプリケーションのサーバ上で、不正な処理が実行されます。また、XSRFは攻撃対象ユーザーがXSRF脆弱性を持つwebアプリケーションにログイン済みであるという条件が必要ですが、XSSでは特に条件なく攻撃できます。

「クロスサイトリクエストフォージェリ / XSRF」を調べた人はこの用語も調べています

クロスサイトリクエストフォージェリ / XSRFの使用例

「CSRFの被害に遭わないようにブラウザは常に最新状態にしているよ」

クロスサイトリクエストフォージェリは、ブラウザなどwebアプリケーションの脆弱性を突いたプログラムです。常に最新状態にすることで、ブラウザの脆弱性を少しでも少なくすることができます。

「怪しいメールのURLは、XSRFの被害に遭うかもしれないから開いてはいけないよ」

クロスサイトリクエストフォージェリの攻撃用のページのURLは、電子メールやWeb上などに配置されています。不用意に信頼のないURLを開くのはやめた方が良いでしょう。

「クロスサイトリクエストフォージェリの被害に遭うと、攻撃者として誤認されてしまうかもしれないところが怖いね」

クロスサイトリクエストフォージェリを用いたなりすましの犯罪では、被害者のブラウザを通して犯罪行為がおこなわれるため、被害者が攻撃者として認識されてしまう可能性もあります。

クロスサイトリクエストフォージェリ / XSRFに関係した気になる話題

クロスサイトリクエストフォージェリの被害例

クロスサイトリクエストフォージェリの被害例として、2005年、SNSサイトのmixiで「ぼくはまちゃん!」という書き込みが、投稿者の意図に反して勝手に書き込まれてしまったという事例があります。この書き込みには、さらにクロスサイトリクエストフォージェリの被害を誘発するリンクが含まれており、連鎖的に多くの被害者が出てしまいました。

また、他にも、クロスサイトリクエストフォージェリ攻撃によって無実の人が誤認逮捕されてしまったという事例あります。2012年、犯人は小学校襲撃や殺害予告などの書き込みを全く別の人のパソコンを遠隔操作することでインターネットの掲示板などに書き込み、結果として5名の無実の人が逮捕されてしまいました。


クロスサイトリクエストフォージェリ / XSRFに関連する記事

この記事がお役に立ちましたら、"いいね!"をお願いします
minweb辞書のIT用語をお届けします