用語解説辞典

用語解説辞典 知りたい用語はここで検索

用語解説辞典トップに戻る

【CSRF】

  • クロスサイトリクエストフォージェリ

 ウェブサイト上で一般の人を騙して、別のサイトで何か操作させる仕掛け。その手法のこと。

 CSRF は、Cross Site Request Forgeries(クロスサイトリクエストフォージェリ)の略で、他のサイトに悪影響を与えるため CSRF攻撃ということもある。また、クロスを X で表して、XSRF と表記することもある。

 SNS やショッピングサイトなど、入会手続きとログインが必要な登録制のサイトがある。しかし一度、登録やログインすると、あとはそのページを開くだけで自動的にログインできるケースが多い。これは、クッキーと呼ばれる技術を使っていて、これ自体は悪くない。

 問題は、CSRF が、この自動ログインを悪用して本人が意図しない操作をさせることだ。

 まず、悪意のある人が一見、普通のウェブサイトを作る。しかし、そこには別のサイトへアクセスしたりデータを転送する仕掛けが隠されている。その転送先が、ログインを必要とする会員制サイトになっているケースが多い。

 そして、アクセスしてきた人が気づかないうちに何か操作させて、その人の ID で掲示板に変な書き込みをさせたり、商品を注文させたりする。場合によっては、設定を変えたり退会させることもできる。

 CSRF攻撃を防ぐには、会員制サイトを運営している側が工夫する必要がある。会員が正しい手順でサイトに入ってきたか、HTTPリダイレクトなどの方法で飛び込んできた場合は、どのサイトから来たのか監視する。さらには、CAPTCHA などの方法でログインの手続きを難しくすることもできる。

 一方、一般のユーザーができる対策は少ない。現状では、ちょっと面倒だけど、こまめにログアウトして、そのサイトを利用するときは必ずログインの手続きを行うことくらい。

Cの一覧に戻る

用語解説:下島 朗(株式会社エントラータ)監修

page top