2019.05.10 Fri
ネット利用の危険性

知らないうちに犯人になっているかも!? CSRFの脅威

匿名掲示板や迷惑メールなどには様々なリンクが貼られていますが、むやみにそれらのリンクをクリックすると、思わぬ事件に巻きこまれることがあります。
今回はそんな事件を引き起こすサイバー攻撃、CSRFについてご紹介します。

 

CSRFって何?

CSRFとはサイバー攻撃の一つで、「クロスサイトリクエストフォージェリ」の略です。「フォージェリ」とは「偽装」のことで、「ウェブサイトをまたがって、貴方の要求(リクエスト)を偽装(フォージェリ)する攻撃」を指します。
具体的な偽装の手順をご説明していきます。

  1. あなたが罠プログラムの仕掛けられたウェブサイトのリンクを開く
  2. 開かれたページの罠プログラムがあなたのPCやスマホで実行される
  3. あなたのPCやスマホが他のサイトに自動的にアクセスし処理を行う
    もちろんあなたには見えないように実行されています
  4. アクセスされた他のサイトはあなた自身が要求した処理だと認識します

 

このように、あなたの知らないうちにあなたのPCやスマホから他のサイトへの要求を行うような攻撃をCSRFと呼びます。
ウェブサイトの側で対策がされていれば攻撃は成り立ちませんが、CSRFへの対策の不十分なウェブサイトではこのような偽装が可能です。
それではCSRFによってどのような事件が引き起こされるか見ていきましょう。

 

あなたのユーザー名で勝手に投稿される?

 

SNSやショッピングサイトなどのサービスではログインした状態のまま放置していることってよくありますよね。
その状態で先ほどの罠プログラムの仕掛けられたウェブサイトを開くと、あなたとしてログインされて処理が実行されてしまいます。
そうすると、例えばあなたのユーザー名で勝手に書き込むこともできます。

他にも、非公開にしていた個人情報を公開にすることも、パスワードを勝手に書き換えることもできるかもしれません。
サービスからこまめにログアウトすることが対策として挙げられますが、それだけでは防ぎきれないような事件も紹介したいと思います。

 

あなたが犯罪予告をしたことになる?

インターネット上で端末を識別するための番号をIPアドレスと呼びます。
IPアドレスはインターネットに接続する度に端末に割り当てられる固有の番号で、どのIPアドレスからアクセスされたかをウェブサイト側は把握しています。
一般にIPアドレスだけでは、誰がアクセスしているかわかりませんが、警察は回線業者から情報提供を受けることで、誰がアクセスしたか調べることが可能です。

もしあなたがCSRFの罠プログラムを仕掛けられたウェブサイトのリンクをクリックしてしまったら、あなたのIPアドレスから掲示板や投稿フォームなどにメッセージを送ったことにされてしまいます。
ここで、例えば犯罪予告が送られてしまったら、IPアドレスの情報からあなたが犯罪を予告したということになり、犯人に仕立て上げられてしまうかもしれません。

それでは、このような事件に巻きこまれないためにはどのような対策をすれば良いでしょうか?

 

CSRFへの自衛策

まず挙げられる対策としては、むやみに不審なリンクを開かないことが重要です。
どうしても気になる際には、あなたの代わりにリンクを開いて確認してくれるサービスを活用しましょう。
以下のサイトで紹介されている「Securl」というサービスを初めとして、リンク先のページを確認してくれるサービスはいくつかあるので、調べてみるといいかもしれません。

 

リンク先のURLの安全性を無料で診断してくれるサイト「Securl」 | ライフハッカー[日本版]

https://www.lifehacker.jp/2015/11/151103url_securl.html

ウイルス対策ソフトには、リンク先をアクセスする前に自動で確認してくれるソフトもあるので、購入を検討してみてもいいでしょう。

 

また、普段から使っているサービスからは、こまめなログアウトを心がけることで防げることもあります。
もしあなたがウェブサイトを運営しているなら、脆弱性を作らないようなサイトを作成してください。