Blog

遠隔操作事件にも使われたクロスサイトリクエストフォージェリ(CSRF)脆弱性とは?

04

こんにちは、制作の奥田です。

はまちです。
タイトルと画像のギャップに自分でも驚きを隠しきれません。
しかし、これにはちゃんとした共通点が存在します。

WEBとは必ずしも安全なものではありません。
誰もがルールに沿って使用すればなにも問題ないのですが、中には攻撃的なことを仕掛ける人がいます。

攻撃者が攻撃できる状態にあることを「脆弱性(ぜいじゃくせい)がある」と言います。
攻撃方法は様々で、プログラマーは可能な限り攻撃できないように対処しなければなりません。

今回話題に挙げるのは「クロスサイトリクエストフォージェリ(CSRF)」という比較的有名な攻撃方法です。

さて、ここで問題の画像です。
もう一度載せましょうか。

04

大量の「はまちちゃん」を生み出したCSRFの脆弱性とは?

2005年4月19日以降、ソーシャル・ネットワーキングサイトの「mixi」で、URLをクリックすると勝手に「ぼくはまちちゃん!」というタイトルで日記がアップされてしまうという現象が多発した。

この事件は「CSRF脆弱性」の話に必ず出てくる話題です。

クロスサイトリクエストフォージェリ / Wikipedia

わかりやすく説明すると、攻撃者はmixiの日記へ「ぼくはまちちゃん」という記事を投稿するリンクを用意します。
通常、ログインしていなければ投稿はできないので不可能なように見えますが、mixiにログインしたユーザーがリンクをクリックしたらmixi側はその人が投稿したという認識なので記事の投稿が完了してしまいます。

これが「CSRF」です。
最近巷で話題の遠隔操作事件もこの方法を利用しています。

クリックだけで勝手に書き込み…「CSRF脆弱性」とは?

ではどうやってこのセキュリティホールを防ぐのでしょうか?

開発者のための正しいCSRF対策

ここに大方載っていますが、それでも今回の事件のように完全に防ぐことはできません。
なので、

怪しいURLはクリックしない。
05

これに尽きます。

  • Knowledge DEPOT
  • サポートサイト