Q&A
クライアントサイドのCookieを使わずとも、フォームにCSRF対策トークンを埋め込むような処理は可能です。
「CSRF対策はどんなサイトでも絶対必要なのか」を読んでふと思ったので質問します。
ログインを伴うようなサービスで、(Cookieによるセッション管理を悪用した)一般的なCSRFを対策するというのはその必要性が分かりやすいと思います。また、更新系処理を伴わないようなサイトではCSRFを考慮する必要がないこともわかります。
では、ログインせずに使える掲示板の場合はどうでしょうか。あるいは、どこかの企業サイトのお問い合わせフォームでも想像しやすいかもしれません。
これらは、CSRF攻撃を仕掛けることで変なメッセージを被害者のクライアントから送信してしまうことが可能なように思えます。ログインを伴わない更新系処理について、一般的にCSRF対策あるいはそれに類する対策というのは何か考えられるのでしょうか。
ついでに、昨今ではこうした攻撃を仕掛けてしまった場合、不正指令電磁的記録に関する罪に問われるのだろうと想像します。不正指令電磁的記録に関する罪が制定される前は、こうした攻撃を仕掛けた場合、何か罪に問われる可能性があったのでしょうか。この罪に関する質問はおまけなのでもし何かご存知であれば補足程度にご教示ください。
回答2件
0
ベストアンサー
これらは、CSRF攻撃を仕掛けることで変なメッセージを被害者のクライアントから送信してしまうことが可能なように思えます。
まさにそのような事件が実際に発生しています。詳しくはWikipediaの以下の記事を参照ください。
ログインを伴わない更新系処理について、一般的にCSRF対策あるいはそれに類する対策というのは何か考えられるのでしょうか。
ログインを伴わない場合この種の攻撃をCSRFと呼ぶか否かは、CSRFという用語の定義に起因する議論がありますが、攻撃自体ができることは自明で実績もあるため、対策をとることは考えられます。
私自身以下の「連載記事」で解説を書いたことがあります。
“誤認逮捕”を防ぐWebセキュリティ強化術[2]CSRFとクロスサイトスクリプティング
上記では一般的なCSRF対策を紹介しています。
しかし、後になって対策に抜け漏れがあることに気づき、以下のブログ記事で紹介しています。
クッキーモンスターバグがあると、IPアドレス偽装防止のCSRF対策が回避される
とは言うものの、これが悪用されるケースは現在ではほとんどないと思いますので、一般的なCSRF対策をしておけばよいと思います。
なお、CSRF以外の「なりすまし犯行予告」手口については前述の「連載」で解説していますので、よろしけばお読みください。
“誤認逮捕”を防ぐWebセキュリティ強化術 | 日経クロステック(xTECH)
ついでに、昨今ではこうした攻撃を仕掛けてしまった場合、不正指令電磁的記録に関する罪に問われるのだろうと想像します。不正指令電磁的記録に関する罪が制定される前は、こうした攻撃を仕掛けた場合、何か罪に問われる可能性があったのでしょうか。この罪に関する質問はおまけなのでもし何かご存知であれば補足程度にご教示ください。
こちらについては、まさにそのものずばりのブログ記事を高木浩光氏が過去に投稿しておられます。
高木浩光@自宅の日記 - CSRF脆弱性を突く攻撃行為を現行法で処罰できるか
ただし、先述のパソコン遠隔操作事件では、威力業務妨害等で有罪になっていますので、CSRFの悪用次第ではそのような運用もあり得ると思います。
投稿2022/02/08 15:07
総合スコア11705
0
ログインを伴わない更新系処理について、一般的にCSRF対策あるいはそれに類する対策というのは何か考えられるのでしょうか。
それこそ、CSRF対策を行えばいいだけです。
投稿2022/02/08 08:14
総合スコア146543
未ログインで使えるフォームの場合、被害者が本来使うCSRFトークンを攻撃者が得ることができてしまうように思うのですが、私は何か勘違いをしているでしょうか。
攻撃者が能動的にトークンを盗む攻撃も考えられますが、それはCSRFより高度な話となります。
(ログイン無しでセッションを発行してしまう、という選択肢もありえます)
> (ログイン無しでセッションを発行してしまう、という選択肢もありえます)
なるほど、この方法なら未ログインでもCSRF対策ができそうですね。考慮できていませんでした。
あなたの回答
tips
プレビュー
バッドをするには、ログインかつ
こちらの条件を満たす必要があります。
2022/02/08 15:21