ユーザーの「安心感」を逆手に取る攻撃：いまそこにある商用サイトの危機（2/3 ページ）

[梅田正隆（ロビンソン），アイティセレクト]

攻撃手法により異なる被害

　また、07年になっていきなり第5位にランクインしたのが「クロスサイトリクエストフォージェリ（略称：CSRF）」という攻撃だ。Forgeryは偽造という意味で、サイトをまたがって偽のリクエストが実行されてしまう問題である。CSRFの攻撃は、被害者が正規のウェブサイトにログインしている状態にあることを前提として行われる。

　例えば、Aさんが商用サイトにユーザーIDとパスワードを用いて正規にログインしているとしよう。ログインしているとき、別のウェブサイトの掲示板にもアクセスしており、そこに「面白いコンテンツがある」と書いてあったため、興味を持ったAさんは掲載されていたURLのリンクをクリックした。すると何やらメッセージが出ただけで、面白いコンテンツは表示されなかった。次の日、取引先から問い合わせの電話が入ってきた。誰かが勝手にAさんの商用サイトからの退会手続きを行い、これまでの注文をすべてキャンセルしてしまったのだ。これがCSRF攻撃である。

　一般に、クッキーを利用してセッションを維持しているウェブアプリケーションの場合、ウェブサーバはブラウザから自動的に送り返される正規のクッキーの中のセッションIDを見て、それが正規のIDであればHTTPリクエストを受け付ける。

　特別な対策を施していないウェブアプリケーションの場合、ブラウザから送られてきたクッキーに正規のセッションIDが含まれていると、HTTPリクエストが発せられたコンテンツが、正規のウェブサイトではない悪意をもった偽のコンテンツからのものであっても、正規のリクエストとして受け入れられてしまうという問題である。

　この脆弱性を突かれると、悪意のあるコンテンツから発せられたリクエストが、ユーザー本人の意思に反して処理されてしまう。先に示した例では、商用サイトに正規ユーザーとしてログインしていた状態で、掲示板サイトから悪意のあるリクエストが発せられたために、それを正しいリクエストと見なして処理されてしまったのだ。