クロスサイト・リクエスト・フォージェリ(forgery=偽造)は,踏み台サーバーを閲覧したユーザーから攻撃対象となっているWebサーバーに対し,閲覧者が意図していないHTTPリクエストを送らせる攻撃手法です。CSRF(またはXSRF)と呼ぶこともあります。 CSRFは,掲示板への書き込みを実行するURLをクリックさせるなどの攻撃手法として,比較的古くから知られています。2005年ころに,ログインが必要なWebサイトを攻撃対象としたCSRFが登場し始めたことから,大きな被害につながる恐れのある攻撃手法として認識されるようになりました。 攻撃者は踏み台サーバーに,攻撃対象サーバーへのリクエストを発行するリンクやスクリプトを挿入しておきます。このリンクやスクリプトは,踏み台サーバーを閲覧したユーザーのブラウザに送り込まれます。閲覧者が誤ってこのリンクをクリックするなどの操作をすると,攻撃対象サーバーへのリクエストが発行されます。 ログインが必要なサイトの中には,一度ログインしたマシンから再度そこにアクセスしたときに,ログイン処理を自動的に実行する場合があります。CSRFはそのようなサイトに対して,深刻な被害を及ぼす恐れがあります。 例えば,パスワードの変更やオンライン銀行での送金処理などを外部から挿入されたリンクやスクリプトで実行できるようにしていると,あたかもユーザー本人の意思で操作したかのようにそれらを実行されてしまいます。パスワードを変更されると,本人になりすましてログインされる可能性も生じます。 一般的なCSRF対策としては,CSRFを仕掛ける側が知り得ない情報をリクエストに含めないと処理が進まない仕組みを作り込むことが挙げられます。例えば,パスワード変更時に,変更前のパスワードを併せて入力させるようにします。こうすると,外部から挿入したスクリプトだけでは変更できなくなります。 |
クロスサイト・リクエスト・フォージェリ
あなたにお薦め
今日のピックアップ
-
実在する人物1000人の個性を生成AIが再現、スタンフォード大の研究が話題に
-
倉業サービスがランサム感染で30万人超の情報漏洩の恐れ、サーバーの脆弱性突かれる
-
NTTデータやソフトバンクは医療データでどう稼ぐ? 新薬開発からゲノム検査まで
-
将来は人がコードに関わらなくなる、プログラミング言語はXMLのような存在に
-
AIで編集機能が強化された「フォト」、写真の背景や邪魔ものを消す使いこなし術
-
Pythonを使った音声認識に挑戦、学習済みモデルを使えば数行のコードでOK
-
iOS/iPadOS 18のコントロールパネルが複数ページに、使い勝手が向上
-
折り畳みスマホをNTTドコモから販売する「モトローラ」、躍進の裏に懸念材料も
-
アマゾンが「ふるさと納税」開始、黒船参入とポイント付与禁止で競争軸が一変
-
政府議論が大詰めの「能動的サイバー防御」、攻撃の事前検知と無害化は可能か
-
みずほとNTTデータが特化型LLM開発の共同研究、tsuzumiを基盤に
-
電通デジタルが最高AI責任者を新設、全事業横断で活用を促進する組織を指揮
注目記事
おすすめのセミナー
注目のイベント
おすすめの書籍
-
マンガ 技術者が悩んだら読む本
人気研修講師による日経クロステックの人気連載をマンガ化、技術者のキャリアや人間関係の悩みをズバリ...
-
さわって学べるPower Platform ローコードアプリ開発ガイド 全面改訂版
Microsoftのローコード開発ツール「Power Platform」による業務アプリ開発を豊...
-
日経BPムック IT業界徹底研究 就職ガイド2026年版
2026年3月卒業の大学生/大学院生の方に向け、IT/通信業界の動向や代表的な企業・職種・仕事の...
-
半導体チップレット未来戦略
半導体のサプライチェーン、設計、装置、材料、ソフトウェアはチップレット勃興でどう変わるのか?用途...
-
グリーン・デジタル社会をつくる インフラ事業構築&市場予測2025-2050
急進展するグリーン・デジタル社会。民間企業に大きなビジネスチャンスが。有望分野、市場規模、企業動...
-
ローカルLLM実践入門
「ChatGPT」のようなチャットAIサービスを手元のパソコンで動かす環境が整いつつあります。本...
日経BOOKプラスの新着記事
日経クロステック Special
What's New
経営
- エンゲージメントが高まるオフィスとは?
- オンプレミスで実現するAI活用戦略
- ESG情報開示の最新状況、企業対応は
- CO2排出量の可視化プラットフォームとは
- モダナイズに第三の選択肢/日本住宅ローン
- パーソルHD、グループ企業のPC管理を効率化
- いすゞ自動車、変革への挑戦
- ビジネスを加速させるデジタル帳票基盤とは
- 三洋化成工業が帳票全体の75%を電子化
- 老舗企業、三菱マテリアルが帳票改革を実践
- トライアロー、連携ツールやログの活用で情報漏洩対策を強化
- DX推進に向けた人材教育の実践手法とは
- 次の一手がわかるDXの総合展 レビュー
- 生成AIを使いこなす組織変革ロードマップ
- DXを成功に導く戦略と組織のあり方とは