1. 情報セキュリティブログ ホーム
  2. セキュリティ用語解説
  3. クロスサイトリクエストフォージェリとは

クロスサイトリクエストフォージェリとは

クロスサイトリクエストフォージェリ(CSRF)とは、Webアプリケーションの脆弱性の一つ。

これを悪用されると、ログインしたユーザーのアカウントによって、ECサイトでの買い物や、SNSや掲示板などへの書き込み、あるいはユーザーのIDやパスワードの変更などといった重要な処理を勝手に行われてしまう可能性がある。

典型的な手口は、攻撃者が悪意あるJavaScriptなどのコードを仕掛けたHTMLファイルをインターネットのどこかに設置し、攻撃対象のWebサイトの閲覧者が興味を引きそうなコンテンツなどから誘導する。閲覧者が罠のあるHTMLを閲覧すると、そうとは知らないままに、閲覧者自身のアカウントで、攻撃対象のサイトで、勝手に特定の処理が行われてしまう。

これにより、閲覧者が金銭的被害を被ることや、SNSなどに「犯行予告」などを勝手に投稿させられる可能性、あるいは、パスワードを変更させられることで、個人情報を盗み出されるなどの可能性がある。

CSRFはWebブラウザでページを閲覧しただけで実行されてしまうので、ユーザー側で事前に対策を行うことは現実的には難しい。Webサイト(アプリケーション)開発者側で、正規の利用者による意図したリクエストであることを確認する対策を、サイト設計段階から盛り込んでいくことが必要だ。

セキュリティ用語辞典一覧ページへ

関連キーワード:

CSRF

クロスサイトリクエストフォージェリ

ファーミング