CSRFとは?
CSRF(クロスサイトリクエストフォージェリ、Cross-Site Request Forgery)とは、ユーザーが意図しない操作を別のWebサイトから強制的に実行させる攻撃のことです。この攻撃は、ユーザーが対象となるWebサイトにログインしている状態で、攻撃者が仕込んだ悪意のあるリクエストを実行することで成立します。たとえば、ユーザーがCSRF攻撃に対して脆弱な銀行サイトにログインしている状態で、攻撃者のサイトを訪れると、攻撃者はユーザーの意図とは無関係に銀行サイト上での振込操作を実行させることが可能になります。
CSRFについてはIPAの「安全なウェブサイトの作り方」にも記載され、開発者にとって注意しなければならない脆弱性です。
CSRF攻撃が危険である理由は、ユーザーの操作と見分けがつかない形で行われるため、被害に気付きにくい点にあります。
攻撃者は、ユーザーの権限を悪用して様々な不正行為を実行できるため、個人情報の漏洩や金銭的被害、アカウントの乗っ取りなど深刻な影響をもたらすことがあります。
そのため、セキュリティ対策が不十分なサイトでは、気づかないうちに重大な被害を受けるリスクがあります。
CSRF攻撃の仕組み
CSRF攻撃の仕組みとしては、ユーザーが意図しない操作を第三者のサイト経由で実行させるというものです。
この攻撃は、ユーザーがログイン済みの状態であり、かつ攻撃者がユーザーのセッションを利用できる状況で発生します。
以下に、CSRF攻撃がどのように成立するのか、そのプロセスを解説します。
1. ユーザーが正規のサイト(CSRFに対して脆弱なサイト)にログインする
まず、ユーザーは正規のWebサイトにログインし、認証済みのセッションを持ちます。
例)ネットバンキングやSNSなどのサービスにログインすることで、セッション情報がブラウザに保存される。
2. 攻撃者がユーザーを悪意のあるサイトに誘導する
次に、攻撃者はユーザーを自分の管理するサイトや悪意のあるリンクに誘導します。
この誘導方法には、スパムメール、SNSの投稿、広告バナー、または偽装されたURLなど、様々な手段が用いられます。
3. 悪意のあるリクエストが自動的に送信される
ユーザーが攻撃者のサイトを訪れると、そのページにはユーザーのセッションを利用して正規のサイトにリクエストを送信するスクリプトが仕込まれています。
例)画像読み込みをトリガーにリクエストを送信。
4. 正規サイトがリクエストを処理する
正規のサイトは、ユーザーがログイン済みであるため、悪意のあるリクエストをユーザーからの正当なリクエストとみなして処理します。
その結果、アカウント情報の変更や不正な送金などの操作が、ユーザーに気づかれない形で実行されます。
ただし、CSRF攻撃が成立するにはいくつかの条件があります。
代表的な条件は以下の通りです。
・被害者ユーザーが対象となるWebサイトにログイン済みである
・セッション情報が他サイトからのリクエストでも使用できる
・サイト側でのリクエスト検証がされていない
CSRFの主な被害例
CSRF攻撃が成立すると、ユーザーや企業に多大な被害をもたらします。
被害は経済的な損失にとどまらず、個人情報の漏洩やアカウントの不正利用など、セキュリティに重大な影響を及ぼすことが多いです。
ここでは、具体的な被害の例をいくつかご紹介します。
金銭的被害
CSRF攻撃は、金融機関やオンライン決済サイトなどに対して特に深刻な脅威をもたらします。
例えば、CSRF攻撃に脆弱な銀行サイトがあれば、攻撃者はユーザーの認証済みセッションを利用して、ユーザーの口座から攻撃者の口座へ不正に送金を実行することが可能です。
このような攻撃は、ユーザーが気づくまでに多額の金銭的損失を引き起こす可能性があります。
被害例
銀行サイトにログインしている状態で、攻撃者の仕込んだリンクをクリックすると、ユーザーの知らないうちに他の口座へ送金が実行されてしまうことがあります。
サイト側では正常な処理として実行しているため、被害者が気づかなければ攻撃を検知するのは難しいでしょう。
このようなケースでは、被害者が気づくのが遅れれば遅れるほど、被害額は膨らんでしまいます。
個人情報の漏えい
CSRF攻撃により、ユーザーの個人情報が漏えいすることもあります。
例えば、攻撃者がユーザーのプロフィール情報を変更することで、個人情報を盗むことができる可能性があります。
被害例
ユーザーの住所や電話番号が漏えいすることがあります。
また攻撃者により情報が変更され、重要な通知が届かなくなったり、二次被害として他のサービスでも悪用されるケースがあります。
アカウントの乗っ取りと不正操作
CSRF攻撃により、アカウントの乗っ取りや設定の変更などの不正操作の可能性があります。
攻撃者は、ユーザーの認証情報を利用してパスワードの変更、メールアドレスの変更、設定の改ざんなど、さまざまな不正操作を実行できます。
このような攻撃により、ユーザーは自分のアカウントを完全に失い、アカウントの乗っ取りにつながることもあります。
被害例
オンラインストアのアカウントが攻撃者により乗っ取られ、商品を勝手に購入するなどの被害が発生することがあります。
またSNSでの不正操作により、ユーザーが意図しない犯罪予告文などを不正に投稿させられるなどのケースも存在します。
CSRFの対策方法
CSRF攻撃がいかに危険で、どれだけ大きなリスクがあるかはここまでの通りです。
ただし、適切な対策を講じることで、CSRFのリスクを大幅に低減させることが可能です。
ここでは、CSRF対策の効果的な方法をいくつか紹介します。
CSRFトークンの導入
CSRFトークンは、攻撃を防ぐために最も一般的で効果的な対策方法の一つです。
トークンを画面ごとやリクエストごとに発行し、セッションと紐づけます。
サーバー側では、リクエストに含まれるトークンが正しいかを検証し、不正なリクエストを排除します。
これにより、攻撃者が偽装リクエストを実行することを防ぎます。
SameSite属性の設定
SameSite属性は、クッキーの送信を制御するための設定です。
この属性を利用することで、第三者サイトからのリクエストに対してクッキーが送信されないように制限することができます。
「SameSite=Lax」 や「 SameSite=Strict」 と設定することで、第三者サイトからのリクエストにおいてクッキーの送信を遮断し、CSRF攻撃を防止できます。
※「SameSite=Lax」の場合、POSTリクエスト時のみクッキーの送信を遮断
他にもRefererヘッダーの検証などが、CSRF攻撃の対策として挙げられますが、単独では対策とならずサポート的な役割になります。
CSRF攻撃の対策としては、上記の「CSRFトークンの導入」と「SameSite属性の設定」が有効と言えるでしょう。
開発者が意識すべきポイント
CSRF対策を行う際に、開発者が特に意識すべきポイントがいくつかあります。
これらのポイントをしっかりと理解し、実装に反映させることで、より強固なセキュリティを実現することができます。
安全なライブラリとフレームワークの使用
セキュリティの観点から評価されたライブラリやフレームワークを使用することが重要です。
多くのフレームワークには、CSRF対策が標準で組み込まれているため、これらの機能を最大限に活用することでCSRFのリスクを大幅に低減できるでしょう。
セッション管理の見直し
セッションの有効期間を適切に設定し、長時間ログイン状態が維持されないようにします。
被害者ユーザーはすでにサイトを長時間使用していないのに、セッションが残っていることによりCSRF攻撃が成立してしまうというケースもあります。
また、重要な操作には再認証を求めるなどの措置を講じることで、さらに強固なセキュリティを実現できます。
ユーザー通知の活用
ユーザーが自分のアカウントで重要な操作が行われた場合、その内容を通知する仕組みを導入します。
これにより、不正な操作が行われた際にすぐに気付くことができ、迅速な対応が可能となります。
外部診断による継続的なセキュリティレビュー
コードのセキュリティレビューや脆弱性診断を定期的に実施し、新たな脆弱性が発見された場合は迅速に対策を講じます。
セキュリティは一度構築すれば終わりではなく、常に進化し続けるものであることを理解しておくことが大切です。
一般的にセキュリティにおいては、多層的な対策が必要となります。
一つの対策だけでなく、複数の防御策を組み合わせることで、攻撃のリスクを大幅に軽減することが可能です。
セキュリティは小さな対策の積み重ねで強固なものとなりますので、開発者は常に最新のセキュリティ情報を追い、適切な対策を実施し続ける姿勢を持つことが重要です。
