CRSFとは

クロスサイトリクエストフォージェリ（CSRF）とは、Webアプリケーションに存在する脆弱性、もしくはその脆弱性を利用した攻撃方法のことです。掲示板や問い合わせフォームなどを処理するWebアプリケーションが、本来拒否すべき他サイトからのリクエストを受信し処理してしまいます。

CRSFの方法

攻撃者は攻撃用Webページを準備し、ユーザがアクセスするよう誘導します

ユーザが攻撃用Webページにアクセスすると、攻撃用Webページ内にあらかじめ用意されていた不正なリクエストが攻撃対象サーバに送られます

攻撃対象サーバ上のWebアプリケーションは不正なリクエストを処理し、ユーザが意図していない処理が行われてしまいます

CRSFの被害

攻撃者は自身が直接攻撃対象サーバへアクセスすることなく、攻撃対象のWebアプリケーションに任意の処理を行わせることができます。CSRFを利用して行われる主な攻撃としては、以下があります

いたずら的書き込み、不正サイトへの誘導、犯罪予告といった掲示板やアンケートフォームへの不正な書き込み

不正な書き込みを大量に行うことによるDoS攻撃

攻撃Webページに誘導された一般ユーザには直接的な被害はありません。ただし、攻撃対象サーバへの不正なリクエストを送信した攻撃者として認識されてしまうことがあります

対策

根本的な解決のためには、Webアプリケーション側でサイト外からのリクエストを受信、処理しないようにシステムを作りこむ必要があります

攻撃者に推測されにくい任意の情報を照合する処理を実装する。照合に使う任意の情報の例としては、セッションID、ページトークン、ランダムな数字などがあります

画像化されたチェックコードを表示しユーザに入力させる「キャプチャ」機能を実装する