ITmedia エンタープライズ:大量の「はまちちゃん」を生み出したCSRFの脆弱性とは?
CSRFとは「特定の機能を実行するときのHTTPリクエスト(URLや必要なパラメータなど)を攻撃者が推測可能な場合に、攻撃者によって誘導されたユーザーが、意図に反してその機能を実行させられてしまう」という脆弱性だ。IPAとJPCERT/CCが4月19日に行った、2005年第1四半期の脆弱性届出状況に関する説明会でも言及されていた。
URLをクリックすると書き込まれる日記の本文にさらに「仕掛け」のURLが含まれていたため、被害者は連鎖的に広がった。
ブログサービスの「はてなダイアリー」でもCSRF問題が確認され、2004年9月に修正されている。
攻撃者による推測が困難なパラメータをHTTPリクエストに含めることで解決できるという。
たとえば、予測しにくいセッションIDを用いてきちんとセッション管理を行うことで、CSRFのリスクを減らすことは可能だろう。中村氏によれば「ワンタイムトークンの利用」も有効なほか、「重要な処理を確定させる際に再認証を行う」方法が推奨されるという。つまり、商品購入、決済などの重要な操作を確定させる前に必ずIDとパスワードを入力させることで、CSRFによる攻撃は困難になるという。
Leave a comment