クロスサイトリクエストフォージェリとは

クロスサイトリクエストフォージェリ(CSRF)は、Webアプリケーションの脆弱性の一つで、Webサイトに特定のスクリプトや自動転送(HTTPリダイレクト)などを仕込むことによって、ユーザー(閲覧者)が気づかないままに、別のWebサイト上で何らかの操作(掲示板への書き込みなど)を行なわせるという攻撃手法のこと。

CSRFの脆弱性が悪用されたWebサイトにユーザーがアクセスすると、そうとは知らないままに、特定の掲示板やアンケートなどに書き込まされたり、別のオンラインショップで買い物をさせられたりしてしまう。

また、DNS情報を書き換えることによってユーザーを偽サイトに誘導する「ファーミング」と呼ばれる攻撃にも、この脆弱性が悪用されていることが報じられており、金銭被害や個人情報の流出といった実害が生じる危険性が懸念されている。

マサヤ：CSRFはブラウザにアクセスしただけで実行されてしまうので、ユーザーが閲覧前に危険が無いかを調べて回避するのは現実的には難しいようですね。
チエ：「不明なリンク先URLはクリックしない」「不審なメールは開封しない、添付ファイルはダウンロードしたり実行したりしない」といった基本的な対策を行うことが有効のようよ。

＜参考記事＞
・ルータのDNS設定を狙う新たなファーミング攻撃発見――Symantec(ITmedia)
・悪意のサイトへ自動的に誘導−DNSサーバー乗っ取りについて−
・ファーミングについて
・クロスサイトスプリクティングとは