CSRF対策をPC側/情報システム側からできる8つの施策を解説

この記事は約7分で読めます。

企業のサイバーセキュリティ担当者でしたら、「CSRF」という単語を一度は耳にしたことがあるでしょう。

本記事では、CSRFの基礎的な概要から被害を受けた際の対処法まで、詳しく解説しました。
ぜひ、CSRFについて知識を深め、セキュリティ対策の改善を図りましょう。

CSRFとは

CSRFとは「クロスサイトリクエストフォージェリ」の略であり、Webアプリケーションにログインした状態のアカウントを狙って、リクエストを強制するサイバー攻撃を指します。

また、似ているサイバー攻撃に「XSS(クロスサイトスクリプティング)」があります。

2つの違いは、XSSはユーザーに不正なWebサイトにアクセスさせて不正なスクリプトを実行させるのに対して、CSRFは不正なWebサイトを経由して、ログイン状態にあるウェブサイトに偽のリクエストを送信してユーザーを攻撃する点において異なります。

CSRFで不正送金や情報発信などの被害が

では実際にCSRFでどのような被害が出るのでしょうか。詳しく解説していきます。

SNSなどでの不正な情報発信

実は、あなたのSNSアカウントもCSRFの被害を受ける危険性は大いにあります。
CSRFによって攻撃されたSNSアカウントから、そのアカウントのユーザーが意図していない投稿がされたり、個人情報が投稿されるといった事例は決して少なくありません。

不正なWebサービスの利用

この記事の読者にも、オンラインバンキングの利用者はいるのではないでしょうか。

オンラインバンキングによって、口座情報を簡単に管理できるようになった一方で、オンラインバンキングを狙ったCSRFの被害が多発しています。
オンラインバンキングでCSRFの被害に遭った場合、大半のユーザーはすぐに認知することができず、不正な送金を確認してはじめて自分が攻撃を受けたことに気が付くのです
仮に被害を受けたとしても、サポートセンターに連絡して金銭面の対応はしてもらえる保証はありますが、個人情報を盗まれる危険性もあるため、CSRFには常に注意しましょう。

また、不正送金に加えて、パスワードを書き換えられて、なりすましされたといった事例も多数存在しています。

CSRFで実際にあった被害の例

これより、CSRFで実際にあった被害についてご紹介することにします。ちなみに、以下の犯行はいずれも一人の犯罪者によって実行されました。

CSRFによるPC遠隔操作事件

2012年「横浜CSRF事件」と呼ばれるサイバー犯罪事件が世間を騒がせました。

この事件では、CSRFの被害を受けたコンピューターから、人気投稿掲示板「2ちゃんねる」に殺害予告や襲撃予告がされました。さらに、パソコンを乗っ取られたユーザーが誤認逮捕されてしまうといった事態にまで発展したのです。

mixiの「はまちちゃん」事件

攻撃者はURLをユーザーにクリックさせることで、そのユーザのアカウントを経由して不正な投稿をすることができます

これまでにも、大手SNSサイトmixiで「ぼくははまちゃん」という日記が、本人の知らない間に勝手に投稿された「はまちちゃん」事件と呼ばれる事件が発生しています。ですから、あなたもSNSを使用する際には、自分自身も被害を受ける可能性はあることを念には念を入れておきましょう。

JALの航空機爆破予告

この事件は「横浜CSRF事件」の第一被害者であるAさんのPCを遠隔操作して実行されました。

犯人はAさんのコンピューターから「JALの旅客機を支配してテロ行為を行う」と予告して、テロの犯行予告の対象になった旅客機は空港に急遽引き返す事態となりました。
この事件は、日本のサイバー犯罪史上最悪の事件として知られています。

PC側でCSRFに有効な対策とは

ところで、あなたの会社のコンピューターがCSRFの被害に遭わないためには、どのような対策を取るべきでしょうか。これより、CSRFに有効な予防策についてご説明します。

Webサービスのログアウトは必須

CSRFはWebサービスにログインしている状態で実行されるケースが多いため、Webサービスを使用した際は、逐一ログアウトするように心がけましょう。

怪しいリンクはクリックしない

URLをクリックしたところ「ウィルスに感染したので以下のページから対処してください」といった警告が突然表示された経験はありませんか。
実は、その表示された外部ページにアクセスすると、CSRFの被害に遭う危険性があるため十分に注意してください。

不正なWebページにアクセスしなければ、サイバー攻撃を受けるリスクを低く抑えられるため、このような警告や不審なメールが届いてもアクセスしないように心がけましょう。

セキュリティ対策ソフトの導入

CSRFによる攻撃はWebアプリケーションの脆弱性を利用して実行されます。
ですから、被害に遭う前に不正なWebサイトの表示をブロックする機能のある、セキュリティ対策ソフトを導入しておきましょう。

不審な操作履歴はすぐに確認

CSRFが実行されると、ユーザーのパソコンには不審な操作履歴が残ります
Webサイトの履歴やログイン履歴に不審な点を見つけた場合は、すぐにログアウトをして警察や専門機関にご相談してください。
早急に対処することで、被害は最小限に抑えられるはずです。

情報システム側でCSRFに有効な対策とは

次はCSRFに有効な情報システム側からの予防策についてご説明します。

サービス外からのリクエストを処理しないよう構築する

攻撃者は、本物のWebサイトに酷似した偽サイトを作成することでユーザーを騙します。

しかし、ページ内の構成をどれほど似せたとしても、送信元のIPアドレスやドメインについては完璧に真似することは不可能です。ですから、リクエストがきた際はIPアドレスやドメインを面倒がらずに確認するようにし、Webサービス内からのリクエストのみ受け付けるように心がけましょう

また、外部のWebサービスと連携する場合も、そのWebサービスの安全性を確認することが大事です。

処理実行時にはユーザーに情報を入力させる

Webサイトにログインしたり、新規登録をする際に「これらの写真の中からバスの写真だけを選択してください」といったようなチェックリストを見たことはありませんか?

このチェックリストによって、ユーザー自身が直接入力する必要があるため、ロボットによる不正なリクエストを阻止する効果があります。また、この方法によって不正入力の大部分を拒否できるため、ユーザー側とサービスを提供する側にとってメリットがあります

外部不正サイトへのアクセスをブロック

CSRFの被害に遭わないためにも、ファイアーウォールを使用して不正な外部サイトへのアクセスを防止しましょう。
ファイアウォールとは、パソコンにデフォルトで搭載されているシステムのことを指し、このシステムにより外部からの不正アクセスやサイバー攻撃を避けることができます。

トークンなどの情報照合のうえでリクエストを処理する

トークンやランダムな数字、セッションIDなどを照合情報として、リクエストの正当性を確認して処理することも大事です。

トークンはセキュリティ効果が高く、さらに実装しやすいというメリットがあります。具体的な実装方法としては、予測の難しいランダムな文字列で生成したトークンをHTMLフォームなどにhiddenで埋め込んで設定します。

このようにトークンを設定することで、リクエスト先でセッションに保存しておいたトークンと送信されたトークンの情報が一致するかを判断して、一致しない情報は不正なリクエストとして却下することができます。これらの方法は、シンプルですが効果は高いので、ぜひご利用してみてください。

まとめ

CSRFとは、Webアプリケーションにログインした状態のアカウントを狙って、リクエストを強制するサイバー攻撃を指します。これまでにもSNSで不正な情報発信が行われたり、オンラインバンキングで不正な送金をされるなど、CSRFによる被害は多発しています。

被害を未然に防ぐためにも、利用したWebサービスは必ずログアウトし、不審なリンクをクリックしなように心がけ、セキュリティ対策のソフトを導入するほか、ファイアーウォールを使用して不正な外部サイトへのアクセスをブロックしましょう。

あなたの企業もサイバー攻撃の対象になる可能性は大いにありますので、再度セキュリティ環境を見直してみてはいかがでしょうか。

情報セキュリティ対策インシデント対策
タイトルとURLをコピーしました