クロスサイトリクエストフォージェリ

情報セキュリティ > 脆弱性・攻撃手法 > クロスサイトリクエストフォージェリ

クロスサイトリクエストフォージェリ (cross-site request forgery) は、Webアプリケーションの脆弱性の一つ^[1]もしくはそれを利用した攻撃。略称はCSRF（シーサーフ (sea-surf) と読まれる事もある^[2]^[3]）、またはXSRF。リクエスト強要^[4]、セッションライディング (session riding^[3]) とも呼ばれる。1990年代はイメタグ攻撃とも呼ばれていた^[要出典]。脆弱性をツリー型に分類するCWEではCSRFをデータ認証の不十分な検証 (CWE-345) による脆弱性のひとつとして分類している (CWE-352)^[5]。

なおCSRFの正式名称はクロスサイトスクリプティング (XSS) と似ているが、XSSは不適切な入力確認 (CWE-20) によるインジェクション (CWE-74) のひとつとして分類されており^[5]、全く異なる種類の攻撃である。

CSRF脆弱性とは以下のような攻撃（CSRF攻撃）を可能にする脆弱性を指す^[1]：攻撃者はブラウザなどのユーザ・クライアントを騙し、意図しないリクエスト（たとえばHTTPリクエスト）をWebサーバに送信させる。Webアプリケーションがユーザ・クライアントからのリクエストを十分検証しないで受け取るよう設計されている場合、このリクエストを正規のものとして扱ってしまい、被害が発生する。CSRF攻撃はURL^[1]、画像の読み込み^[1]、XMLHttpRequest^[1]などを利用して実行される。

具体的被害としてはデータの漏えい^[1]、意図しないコードの実行^[1]、権限の取得^[1]、なりすまし^[1]、防御メカニズムの回避^[1]、アプリケーションデータの読み取り^[1]などがありうる。権限の取得が可能な場合、その被害はユーザの持つ権限に依存する。ログインしていない状態でも起こりうる主な被害としてユーザ・クライアントに電子掲示板などへ書き込みをさせる行為があり^[6]、これを利用してユーザを装った犯罪予告（例：パソコン遠隔操作事件）や大量の書き込みをさせるDoS攻撃（例：「ぼくはまちちゃん」騒動）といった事件が発生した。

詳細[編集]

CSRF脆弱性を具体例を用いて説明する。今ある銀行のWebサイト（標的サイト）にログインしているユーザALICEが自身の口座からBOBという別のユーザの口座に100ドルを送金する際、ALICEのブラウザから

GET http://bank.com/transfer.do?acct=BOB&amount=100 HTTP/1.1

というHTTPリクエストが銀行のWebサイトに向かって送信されるものとする^{[注釈 1]}。

攻撃者MARIAは

http://bank.com/transfer.do?acct=MARIA&amount=10000 HTTP/1.1

というURLを公開掲示板に張ったり、不特定多数にメールしたりする^{[注釈 1]}。

銀行のユーザALICEがこのURLをクリックしてしまうと、ALICEのブラウザから

GET http://bank.com/transfer.do?acct=MARIA&amount=10000 HTTP/1.1

というHTTPリクエストが銀行に向かって送信される^{[注釈 1]}。この際たまたまALICEが銀行にログインしていたら、銀行のサーバはこのリクエストを送金要求だと解釈してしまい、ALICEの口座からMARIAの口座に一万ドルが不正送金されてしまう。

本来、銀行のサーバは、ALICEのブラウザから受け取ったHTTPリクエストが本当にALICE当人の意志で送られたものなのかをチェックし、チェックを通った時のみHTTPリクエストを受け付けるべきである。

しかし上述した銀行サーバのWebサイトの実装にはこのようなチェック機構は備わっておらず、これがMARIAにCSRF攻撃を可能にしてしまった原因である。

上述の攻撃に対する対策の一例として、送金のHTTPリクエストに

GET http://bank.com/transfer.do?token=13276598501&acct=BOB&amount=100 HTTP/1.1

のようにセッションIDとは別の送金用のtokenを含め、これが正しいtokenであるかを銀行サーバ側でチェックするというものがある（重要な注：説明を平易にする為この対策を記したが、この対策方法(他人に知られてはならない情報をURLへ含む方法？)はセッションハイジャックの危険という別の問題をはらんでいるので使用すべきではない^[7]^[8]。よりよい対策方法は次章を参照）。

このようにすると、MARIAは（少なくとも前述の方法では）CSRF攻撃を行うことができない。tokenはALICEがログインするたびにランダムに決まるなど、MARIAがtokenを予想してURLを公開掲示板などに記載するのは困難な為である^{[注釈 2]}。

偽装工作[編集]

CSRFの攻撃者は、攻撃用URLが銀行のものだとALICEに気づかれないようにするため、偽装工作をはかる事がある。例えば攻撃用URLを直接記載する代わりに

<a href="（攻撃用URL）">面白い画像をみつけました</a>

と記載したり^{[注釈 3]}、サイズ0x0の画像（のふりをした攻撃用URL）

<img src="（攻撃用URL）" width="0" height="0" border="0">

を貼り付けたりする事で偽装できる^{[注釈 3]}。なお、後者の偽装工作の場合、この画像が貼られたサイトにアクセスしてしまうと、ブラウザが自動的にこの「画像」を読み込んでしまうので、攻撃が成功する。

対策[編集]

利用者側[編集]

ログインしていることが必要な手続きにおいては、ログアウトをしてセッションを破棄しておけば認証確認の段階で手続きが拒否されるので被害が抑えられる。必要な手続きを済ませたならログアウトすることが望ましい。

Webサイト・Webアプリケーション製作者側[編集]

フォームを受け付けるWebサイト管理者（情報機器の設定のためにウェブインタフェースを提供しているあらゆるメーカーを含む）は、以下のような対策を施さなければならない。

よく知られた対策方法として、FormをHTTP GETする際に、十分な長さの暗号論的擬似乱数値（いわゆるnonce）をformのhidden値として発行し、HTTP POST時にサーバーに保存していた値とPOSTされてきた値の同一性を検証するという方法がある。外部サイトの作成者はこれらの値を推測することが困難なため、不正なPOSTはサーバ側で検出できる。（但し、HTTPヘッダ・インジェクション、セッションハイジャック、クロスサイトスクリプティングについても対策を施さなければ意味がない。）現代的なHTML Form生成用ライブラリの多くは、この機能をあらかじめ備えている。

より安易な方法として、HTTPリファラ (Referer) を用いて対策することもできる。CSRFは外部のドメインからのHTTPリクエストであるため、HTTPのRefererを取得し照合することによって外部サイトからの不正なPOSTを判別できる。第三者のサイトから、Refererを偽装したPOSTを送信させることは不可能であるため、Referer値をチェックすることで不正な送信を検出できる。ただしHTTPリクエストの送信者自身がRefererを偽装することは容易であるため、Referer照合はCSRFの対策とはなっても、不正なセッションが作成されることへの対策にはならない。また、リファラはブラウザの設定で非送信にすることができ、リファラを非送信に設定した利用者は正規のサイトから手続きを行っても不正としてはじかれてしまう。

事案[編集]

日本においては、2005年 4月19日ごろにmixiで発生したはまちや2による「ぼくはまちちゃん」騒動（後述）によってその存在が広く知られることとなった。1997年5月に起きた農水省オウムソング事件も本手法を用いたものである。

「ぼくはまちちゃん」騒動[編集]

2005年4月中旬ごろ、SNSサイトの一つであるmixiにおいて、突如として「ぼくはまちちゃん！こんにちはこんにちは!!」という定型文が、投稿者の意図せぬまま書きこまれるという事態が発生した。この書き込みには別のmixi利用者を同様の罠におびき寄せるような細工がしてあったため、同メッセージは急速にmixi上にあふれることとなった。利用者たちは当初、いったい何がどうしてどういったことが起こっているのかわからず、慌てることとなった。mixi利用者の中には少なからぬ数のシステムエンジニアもいたことから、そういった利用者の間には、次第に、この混乱の原因がクロスサイトリクエストフォージェリであることがわかっていった。しかし、その後のmixi運営当局側の対処が付け焼き刃的で抜本的なものでなかったこと^[要出典]、また告知が不十分だったり不親切だったりするのではないかといった指摘があったこと^[要出典]などの要因もあいまって、mixiの利用者に困惑がひろがり、ついには「セキュリティホール memo」や「ITmediaニュース」、「インプレスwatch」などでも取りあげられるなど、mixiの外でも話題となった^[9]。また、2009年12月上旬に開始したばかりのサービスであるAmebaなうでも同様の事態が起きた^[10]。

横浜市小学校襲撃予告事件[編集]

「パソコン遠隔操作事件」を参照

横浜市ウェブサイトの意見投稿コーナーに、同市保土ヶ谷区の小学校への無差別殺人予告が投稿された事件で、犯人はクロスサイトリクエストフォージェリを利用することで無関係の他人に書込をさせていたことが判明している。被害にあったパソコンを所有していた大学生が逮捕・起訴され保護観察処分となったが、のちに神奈川県警が誤認逮捕を認めて謝罪した^[11]。

脚注[編集]

[脚注の使い方]

注釈[編集]

^ ^a ^b ^c これらのHTTPリクエストやURLはOWASP（英語版）のサイト^[3]に脆弱性の例として記載されているものを引用した。
^ 厳密に言うと、MARIAが適当に予想したtokenがたまたま本物のtokenと一致して攻撃が成功してしまう場合がある。これを防ぐためtokenとしてエントロピーが十分に大きいものを使う必要がある。
^ ^a ^b これらもOWASP（英語版）のサイト^[3]に記載されている偽装工作の例を参考にして作成。

出典[編集]

^ ^a ^b ^c ^d ^e ^f ^g ^h ⁱ ^j ^k CWE-352 2011.
^ Shiflett, Chris (2004年12月13日). “Security Corner: Cross-Site Request Forgeries”. php|architect (via shiflett.org). 2008年7月3日閲覧。
^ ^a ^b ^c ^d OWASP 2016.
^ IPA 2014.
^ ^a ^b 共通脆弱性タイプ一覧CWE概説。IPA。2016/9/15閲覧
^ トレンドマイクロセキュリティ情報脅威と対策「クロスサイトリクエストフォージェリ（CSRF）」
^ 金床 2009.
^ 徳丸 2011, p. 159,165-166.
^ 「ぼくはまちちゃん」 ――知られざるCSRF攻撃 - ＠IT
^ URL踏むと「こんにちは　こんにちは!!」　AmebaなうのCSRF脆弱性で“意図しない投稿”広がる ITmedia
^ 神奈川県警幹部、誤認逮捕を謝罪…少年宅を訪問 2012年10月20日22時31分読売新聞

参考文献[編集]

“CWE-352 クロスサイトリクエストフォージェリ”. JVN iPedia (2011年4月21日). 2016年9月15日閲覧。
“セキュアプログラミング講座 Webアプリケーション編第4章セッション対策リクエスト強要（CSRF）対策”. 独立行政法人情報処理推進機構 (IPA) セキュリティーセンター (2014年10月2日). 2016年9月15日閲覧。
“Cross-Site Request Forgery (CSRF)”. OWASP（英語版） (2016年5月22日). 2016年9月15日閲覧。
金床 (2009年7月11日). “開発者のための正しいCSRF対策”. 2016年9月15日閲覧。
独立行政法人情報処理推進機構セキュリティーセンター，「CSRFについて」（2007年7月12日）
徳丸浩『体系的に学ぶ安全なWebアプリケーションの作り方脆弱性が生まれる原理と対策の実践』SBクリエイティブ、2011年3月1日。ISBN 978-4797361193。

[owasp-7] これらのHTTPリクエストやURLはOWASP（英語版）のサイト^[3]に脆弱性の例として記載されているものを引用した。

[10] 厳密に言うと、MARIAが適当に予想したtokenがたまたま本物のtokenと一致して攻撃が成功してしまう場合がある。これを防ぐためtokenとしてエントロピーが十分に大きいものを使う必要がある。

[owasp2-11] これらもOWASP（英語版）のサイト^[3]に記載されている偽装工作の例を参考にして作成。

[FOOTNOTECWE-3522011-1] ^ ^a ^b ^c ^d ^e ^f ^g ^h ⁱ ^j ^k CWE-352 2011.

[Shiflett2-2] Shiflett, Chris (2004年12月13日). “Security Corner: Cross-Site Request Forgeries”. php|architect (via shiflett.org). 2008年7月3日閲覧。

[FOOTNOTEOWASP2016-3] OWASP 2016.

[FOOTNOTEIPA2014-4] IPA 2014.

[ipacwe-5] 共通脆弱性タイプ一覧CWE概説。IPA。2016/9/15閲覧

[6] トレンドマイクロセキュリティ情報脅威と対策「クロスサイトリクエストフォージェリ（CSRF）」

[FOOTNOTE金床2009-8] 金床 2009.

[FOOTNOTE徳丸2011159,165-166-9] 徳丸 2011, p. 159,165-166.

[12] 「ぼくはまちちゃん」 ――知られざるCSRF攻撃 - ＠IT

[13] URL踏むと「こんにちは　こんにちは!!」　AmebaなうのCSRF脆弱性で“意図しない投稿”広がる ITmedia

[14] 神奈川県警幹部、誤認逮捕を謝罪…少年宅を訪問 2012年10月20日22時31分読売新聞

[1]

[2]

[3]

[4]

[5]

[6]

[注釈 1]

[7]

[8]

[注釈 2]

[注釈 3]

[9]

[10]

[11]

表話編歴脆弱性、攻撃手法、エクスプロイト
クロスサイト攻撃	クロスサイトリクエストフォージェリ (CSRF) クロスサイトスクリプティング (XSS) クロスサイト・クッキングクロスサイトトレーシングクロスゾーンスクリプティング（英語版）
インジェクション攻撃 (CWE-74)	クロスサイトスクリプティング (XSS) (CWE-79) SQLインジェクション (CWE-89) HTTPヘッダ・インジェクション HTTPレスポンススプリッティング（英語版） (CWE-113) 書式文字列攻撃 (CWE-134)
スプーフィング攻撃	DNSスプーフィング IPスプーフィング ARPスプーフィングクリックジャッキング (CAPEC-103) リファラスプーフィング（英語版） Eメールスプーフィング（英語版）フィッシング (CAPEC-98) ファーミング (CAPEC-89)
セッションハイジャック関連	セッションフィクセーション (CWE-384, CAPEC-61) セッションポイズニング（英語版） TCPシーケンス番号予測攻撃クッキーモンスター攻撃（英語版）
DoS攻撃	Land攻撃クリアチャネル評価攻撃（英語版）
サイドチャネル攻撃	コールドブート攻撃（英語版） Meltdown Spectre Lazy FP state restore（英語版） TLBleed（英語版）
不適切な入力確認 (CWE-20)	バッファオーバーフロー (CWE-119、120、121等) Return-to-libc攻撃ディレクトリトラバーサル (CWE-22)
未分類	中間者攻撃 (CAPEC-94) MITB攻撃 MOTS攻撃（英語版） Off-by-oneエラー (CWE-193) ファイルインクルード脆弱性（英語版） Mass Assignment脆弱性（英語版）ダングリングポインタ（英語版） DNSリバインディング in-sessionフィッシング（英語版）クッキースタッフィング（英語版）悪魔の双子攻撃 IDNホモグラフ攻撃スナーフィング（英語版） JITスプレーイング（英語版）リプレイ攻撃誕生日攻撃 CRIME KRACK Intel ME（英語版）の脆弱性
対策	OP25B Content Security Policy（英語版）コンテントスニッフィング（英語版） HTTP Strict Transport Security (HSTS) ファイアウォール侵入防止システム (IPS) 侵入検知システム (IDS) Web Application Firewall (WAF) Wi-Fi Protected Access
関連項目	マルウェアセキュリティホールクラッキング脆弱性情報データベースブラウザクラッシャーシェルコード Metasploit Sshnuke Nikto Web Scanner（英語版） OWASP（英語版） w3af（英語版）隠れ通信路（英語版）