質問をすることでしか得られない、回答やアドバイスがある。

15分調べてもわからないことは、質問しよう!

新規登録して質問してみよう
ただいま回答率
85.45%
セキュリティー

このタグは、コンピューターシステムの安全性やデータの機密性に関連したトピックの為に使われます。

Webサイト

一つのドメイン上に存在するWebページの集合体をWebサイトと呼びます。

CSRF

クロスサイトリクエストフォージェリ (Cross site request forgeries、CSRF)は、 外部Webページから、HTTPリクエストによって、 Webサイトの機能の一部が実行されてしまうWWWにおける攻撃手法です。

Q&A

解決済

2回答

2480閲覧

ログイン前でも使える更新系処理にCSRF対策は必要でしょうか

arcxor

総合スコア2859

セキュリティー

このタグは、コンピューターシステムの安全性やデータの機密性に関連したトピックの為に使われます。

Webサイト

一つのドメイン上に存在するWebページの集合体をWebサイトと呼びます。

CSRF

クロスサイトリクエストフォージェリ (Cross site request forgeries、CSRF)は、 外部Webページから、HTTPリクエストによって、 Webサイトの機能の一部が実行されてしまうWWWにおける攻撃手法です。

0グッド

2クリップ

投稿2022/02/08 05:49

CSRF対策はどんなサイトでも絶対必要なのか」を読んでふと思ったので質問します。

ログインを伴うようなサービスで、(Cookieによるセッション管理を悪用した)一般的なCSRFを対策するというのはその必要性が分かりやすいと思います。また、更新系処理を伴わないようなサイトではCSRFを考慮する必要がないこともわかります。

では、ログインせずに使える掲示板の場合はどうでしょうか。あるいは、どこかの企業サイトのお問い合わせフォームでも想像しやすいかもしれません。

これらは、CSRF攻撃を仕掛けることで変なメッセージを被害者のクライアントから送信してしまうことが可能なように思えます。ログインを伴わない更新系処理について、一般的にCSRF対策あるいはそれに類する対策というのは何か考えられるのでしょうか。

ついでに、昨今ではこうした攻撃を仕掛けてしまった場合、不正指令電磁的記録に関する罪に問われるのだろうと想像します。不正指令電磁的記録に関する罪が制定される前は、こうした攻撃を仕掛けた場合、何か罪に問われる可能性があったのでしょうか。この罪に関する質問はおまけなのでもし何かご存知であれば補足程度にご教示ください。

気になる質問をクリップする

クリップした質問は、後からいつでもMYページで確認できます。

またクリップした質問に回答があった際、通知やメールを受け取ることができます。

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

guest

回答2

0

ベストアンサー

これらは、CSRF攻撃を仕掛けることで変なメッセージを被害者のクライアントから送信してしまうことが可能なように思えます。

まさにそのような事件が実際に発生しています。詳しくはWikipediaの以下の記事を参照ください。

パソコン遠隔操作事件 - Wikipedia

ログインを伴わない更新系処理について、一般的にCSRF対策あるいはそれに類する対策というのは何か考えられるのでしょうか。

ログインを伴わない場合この種の攻撃をCSRFと呼ぶか否かは、CSRFという用語の定義に起因する議論がありますが、攻撃自体ができることは自明で実績もあるため、対策をとることは考えられます。
私自身以下の「連載記事」で解説を書いたことがあります。

“誤認逮捕”を防ぐWebセキュリティ強化術[2]CSRFとクロスサイトスクリプティング

上記では一般的なCSRF対策を紹介しています。
しかし、後になって対策に抜け漏れがあることに気づき、以下のブログ記事で紹介しています。

クッキーモンスターバグがあると、IPアドレス偽装防止のCSRF対策が回避される

とは言うものの、これが悪用されるケースは現在ではほとんどないと思いますので、一般的なCSRF対策をしておけばよいと思います。
なお、CSRF以外の「なりすまし犯行予告」手口については前述の「連載」で解説していますので、よろしけばお読みください。

“誤認逮捕”を防ぐWebセキュリティ強化術 | 日経クロステック(xTECH)

ついでに、昨今ではこうした攻撃を仕掛けてしまった場合、不正指令電磁的記録に関する罪に問われるのだろうと想像します。不正指令電磁的記録に関する罪が制定される前は、こうした攻撃を仕掛けた場合、何か罪に問われる可能性があったのでしょうか。この罪に関する質問はおまけなのでもし何かご存知であれば補足程度にご教示ください。

こちらについては、まさにそのものずばりのブログ記事を高木浩光氏が過去に投稿しておられます。

高木浩光@自宅の日記 - CSRF脆弱性を突く攻撃行為を現行法で処罰できるか

ただし、先述のパソコン遠隔操作事件では、威力業務妨害等で有罪になっていますので、CSRFの悪用次第ではそのような運用もあり得ると思います。

投稿2022/02/08 15:07

ockeghem

総合スコア11701

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

arcxor

2022/02/08 15:21

非常に整然とした回答ありがとうございます。 いくつか過去に読んだことがあるはずでしたが、それらが思い出せずこの質問をした面もあったため、参考文献を的確に紹介していただけてとても参考になりました。改めて全てに目を通してみようと思います。 > ログインを伴わない場合この種の攻撃をCSRFと呼ぶか否かは、CSRFという用語の定義に起因する議論がありますが、 そうなのですね。ログインの有無によらずこれらをCSRFと呼ぶものだと思っていました。 ご回答ありがとうございました。
guest

0

ログインを伴わない更新系処理について、一般的にCSRF対策あるいはそれに類する対策というのは何か考えられるのでしょうか。

それこそ、CSRF対策を行えばいいだけです。

投稿2022/02/08 08:14

maisumakun

総合スコア145225

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

maisumakun

2022/02/08 08:17

クライアントサイドのCookieを使わずとも、フォームにCSRF対策トークンを埋め込むような処理は可能です。
arcxor

2022/02/08 09:56

未ログインで使えるフォームの場合、被害者が本来使うCSRFトークンを攻撃者が得ることができてしまうように思うのですが、私は何か勘違いをしているでしょうか。
maisumakun

2022/02/08 09:58

攻撃者が能動的にトークンを盗む攻撃も考えられますが、それはCSRFより高度な話となります。
maisumakun

2022/02/08 10:01

(ログイン無しでセッションを発行してしまう、という選択肢もありえます)
arcxor

2022/02/08 14:40

> (ログイン無しでセッションを発行してしまう、という選択肢もありえます) なるほど、この方法なら未ログインでもCSRF対策ができそうですね。考慮できていませんでした。
guest

あなたの回答

tips

太字

斜体

打ち消し線

見出し

引用テキストの挿入

コードの挿入

リンクの挿入

リストの挿入

番号リストの挿入

表の挿入

水平線の挿入

プレビュー

15分調べてもわからないことは
teratailで質問しよう!

ただいまの回答率
85.45%

質問をまとめることで
思考を整理して素早く解決

テンプレート機能で
簡単に質問をまとめる

質問する

関連した質問