CSRFとは？

詳細解説

CSRF（Cross-Site Request Forgery）は、ログイン済みユーザーが攻撃者の用意した悪意のあるページを閲覧したとき、そのユーザーの権限で正規のWebサービスへ意図しないリクエスト（送金・パスワード変更・商品購入等）を自動送信させる攻撃です。攻撃の仕組み：①ユーザーが銀行サイトにログイン（セッションCookieを保持）→②攻撃者が仕掛けた罠ページを訪問→③罠ページの隠しフォームが自動送信し銀行への送金リクエストをユーザーのCookieと共に送る→④銀行サーバーは正規リクエストと判断して処理してしまう。XSSとの違いはXSSが「攻撃者のスクリプトを被害者ブラウザで実行」なのに対し、CSRFは「被害者の権限で正規サーバーへ偽リクエストを送る」点です。対策はCSRFトークン（フォームに予測不能なランダムトークンを埋め込み、サーバーで検証）・SameSite Cookie属性（他サイトからのリクエストでCookieを送らない）・リファラーチェック・重要操作の再認証（パスワード再入力）です。ITパスポートでは「CSRFの仕組み」「XSSとの違い」「CSRFトークンによる対策」が頻出です。

ITパスポートでの出題ポイント

• 1ユーザーのログインセッションを悪用して偽リクエストを正規サーバーへ送る
• 2CSRFトークンで正規フォームからの送信かを検証
• 3SameSite Cookie属性でクロスサイトのCookie送信を制限
• 4XSSはスクリプト実行、CSRFは偽リクエスト送信という違い

関連用語