クロスサイトリクエストフォージェリ
読み方:クロスサイトリクエストフォージェリ
クロスサイトリクエストフォージェリとは
クロスサイトリクエストフォージェリ(CSRF)とはWebアプリケーションの脆弱性そのもの、あるいはこの脆弱性を悪用したサイバー攻撃のことを指します。
攻撃者は不正なサイトを自前で用意してから、水飲み場型攻撃のようにそのままユーザが罠にかかることを待つか、フィッシングメールのようにユーザを誘導することで不正サイトをユーザがアクセスするように仕向けます。
もしアクセスしてしまうとユーザの意思とは関係ないコメントが、ユーザのアカウントから書き込まれてしまうことや画像、リンクなどが投稿される場合があります。
例えば、「○月○日に△△大学に爆弾を仕掛ける」といった悪質な投稿がされれば、見た目上はユーザのアカウントがしていることになるため、周りからの信頼を失うことや炎上につながることになります。また、犯罪予告を行ったと誤認逮捕される可能性もあります。
クロスサイトリクエストフォージェリの対策
不審なサイトにアクセスしないことやWebサイト利用後はログアウトすることに加え、身に覚えのない操作履歴が存在した場合は、すぐに確認を管理者へ取ることが主な対策となります。Webアプリケーションの脆弱性の利用なので、最新版にこまめにアップデートすることも肝要です。
クロスサイトリクエストフォージェリの関連語
- クロスサイトスクリプティング(XSS)
クロスサイトリクエストフォージェリもクロスサイトスクリプティングもWebアプリケーションの脆弱性を悪用し、ユーザに不正な動作をさせるという点では共通しています。ただ、実行される場所、実行可能な処理、前提条件の有無などの違いがあります。クロスサイトリクエストフォージェリはサイバー犯罪者にWebアプリケーションサーバで実行されます。Webアプリで定義された処理に限り、かつユーザがWebアプリにログイン済みという前提条件が必要です。それに対し、クロスサイトスクリプティングはサイバー犯罪者にWebブラウザで実行されます。処理に関してもJavaScriptで実行可能な範囲ならば自由に行え、実行の前提条件もありません。
