CSRF(クロスサイトリクエストフォージェリ)とは、Webアプリケーションの利用者が意図しない操作を実行させられる攻撃手法の一つです。具体的には、攻撃者が偽装したリクエストを利用者に送信し、利用者がそのリクエストを実行することで、攻撃者の意図した操作がWebアプリケーション上で行われます。
CSRFの仕組み
- 攻撃者が偽装リクエストを作成:攻撃者は、特定の操作を実行するためのリクエストを作成します。
- 利用者にリクエストを実行させる:攻撃者は、利用者がそのリクエストを実行するように仕向けます。例えば、メールやSNSでリンクを送るなどの方法があります。
- 利用者がリクエストを実行:利用者がリンクをクリックすると、リクエストが実行され、攻撃者の意図した操作が行われます。
CSRFの被害例
- 不正な送金:銀行のWebアプリケーションで、利用者が意図しない送金が行われる。
- アカウントの乗っ取り:SNSやメールサービスで、利用者のアカウントが攻撃者に乗っ取られる。
CSRF対策
- CSRFトークンの使用:フォーム送信時に一意のトークンを付与し、サーバー側でそのトークンを検証することで、不正なリクエストを防ぎます。
- リファラーチェック:リクエストの送信元を確認し、信頼できる送信元からのリクエストのみを受け付ける。
CSRFは、利用者が意図しない操作を防ぐために、適切な対策を講じることが重要です。
