|
クロスサイトリクエストフォージェリ(Cross site request forgeries、略記:CSRF、またはXSRF)は、WWW における攻撃手法のひとつである。 具体的な被害としては、掲示板に意図しない書き込みをさせられたり、オンラインショップで買い物をさせられたりするなどが挙げられる。また、ルーターや無線LAN等の情報機器のWebインタフェースが攻撃対象となれば、それらの機器の設定を勝手に変更される懸念もある。 日本においては、2005年4月19日ごろにmixiで発生したはまちや2による「ぼくはまちちゃん」騒動(後述)によってその存在が広く知られることとなった。また、1990年代はイメタグ攻撃とも呼ばれていた。1997年5月に起きた農水省オウムソング事件も本手法を用いたものである。 == 原理 == 攻撃の大まかな流れは下記の通り。 # 攻撃者が、攻撃用の Web ページを作成して WWW 上に公開する。 #:(WWW上でなくとも、未対策のHTMLメーラーにウェブページをHTMLメールとして送信するなど、様々な攻撃手法が考えうる。) # 第三者が、攻撃用の Web ページにアクセスする。 # 第三者は、攻撃者が用意した任意の HTTP リクエストを送信させられる。 # 送信させられた HTTP リクエストによって、攻撃者の意図した操作が行われる。 :(ここで「第三者」とは、被攻撃サイトに意図せずアクセスさせられると言う意味で用いている。) 簡単な HTML を例示して、その原理を具体的に解説する。 ;attack.html: ;clickme.html: ようこそいらっしゃいました。 第三者が clickme.html にアクセスすると、以下のような流れで http://example.com/bbs/register.cgi に自動的に書き込み処理が行われる。 # clickme.html のインラインフレーム内で attack.html が呼び出される。 # attack.html の body 要素に指定された onload 属性により、ページが読み込まれるのと同時に、そのページ内のフォームの送信ボタンが自動的に押される。 # http://example.com/bbs/register.cgi に自動的にアクセスが行われ、attack.html のフォーム内に指定された内容の書き込みを行う。 なお、これらの出来事はすべて clickme.html 内に存在する 1 ピクセル四方のインラインフレームで行われるため、被害者に攻撃を受けたことを気付かれにくくなっている。「ぼくはまちちゃん」騒動で使用された攻撃では、インラインフレームの代わりに img タグを利用した巧妙な偽装が行われていた。 imgタグに偽装した手法は下記のようなものである。 この手法では、http request methodはpostでなくgetとなってしまうため、文字数に限界があるものの、実質1行ですべてを表すことが可能であり、上記例であれば本文や題名を変更したhtmlタグを複数記述することによって対象とするregister.cgiに複数回のアクセスを行うことが可能となる。 こういった手法が日本において初めて用いられたのは1997年のあやしいわーるどであり、当時は掲示板荒らしの手法、またメールボムの手法として、いたずらに用いられていた〔http://scan.netsecurity.ne.jp/article/2002/08/01/6139.html〕。 抄文引用元・出典: フリー百科事典『 ウィキペディア(Wikipedia)』 ■ウィキペディアで「クロスサイトリクエストフォージェリ」の詳細全文を読む 英語版ウィキペディアに対照対訳語「 Cross-site request forgery 」があります。 スポンサード リンク
|