コラム
TOP >  コラム >  コラム詳細

セキュリティエンジニアの四方山話  第4回 : クロスサイトリクエストフォージェリについて

2014年の加速度的に忙しい時期に乗り越えて、ついに2015年になりました。

あけましておめでとうございます。

2015年問題という言葉も飛び交っていて、IT業界的には忙しい一年になるかと思いますが、まずはセキュリティの気付きを増やしてゆきましょう。


私たちがPCを目の前に仕事を行っていると様々なメールが舞い込んできます。

中には、「あのセレブ御用達!詳しくは以下のリンクで」とか「2000万円当選しました。以下のURLで確認ください」などといった内容と共にURLリンクが載せられたメールがあったりします。

俗にいう迷惑メールの類ですね。

そのURLにアクセスすると、後で物品を送りつけられ高額な料金を請求されたり、掲示板へ危険なメッセージを書きこんでしまったという事件に発展したりする事がまれにあります。

近年では、PC遠隔操作事件で大阪市等のHPに無差別殺害予告が届き、無実の罪で逮捕される等の被害も起きています。

今回、解説するのはそんな被害に繋がる「クロスサイトリクエストフォージェリ」という脆弱性です。



堀井 明央
バルテス・モバイルテクノロジー株式会社(http://www.valtes-mt.co.jp) のセキュリティエンジニア。Webアプリやモバイルアプリのセキュリティ診断を担当し、際限のない好奇心で脆弱性の検出に日々明け暮れている

クロスサイトリクエストフォージェリとは?


クロスサイトリクエストフォージェリとは、被害者が攻撃者に任意の通信をWebサーバに送信させられる事により、システム側で被害者が意図していない操作を行わせられる事を可能にする脆弱性です。


この脆弱性を悪用されると、以下のような被害が発生します。

           
・意図せずに商品を購入させられたり、ユーザ情報を変更させられたりする

・被害者が意図せずに掲示板に書き込みを行ってしまう
        


ポイントとしては、被害者が「意図しない」操作を行わせられるというところで、これまでに紹介したSQLインジェクションのように攻撃者がシステムに対して直接攻撃を加えるわけではないところにあります。

Webシステムを運営する側が対策を行わないと、システムを利用するユーザに強制的な決済やユーザ情報の変更という被害が発生します。



クロスサイトリクエストフォージェリが生まれる仕組み、その対策とは?

では、クロスサイトリクエストフォージェリはどのような攻撃法となるのでしょうか?

順を追って説明しようと思います。

1| 2| 3

>

>>



第3回


連載一覧

1