2007年7月12日 掲載
彼女が現在一番利用しているのがW社が運営するSNS (ソーシャルネットワーキングサービス)。
日記を毎日楽しく更新して、同じ志向のユーザたちとコミュニケーションを図っていました。
W社のSNSは紹介制の会員サイトで、コミュニティの中で知り合った友人にのみ日記を公開するなどの設定ができます。
A子さんは、不特定多数の人がいるところは怖いと感じ、日記は登録した友達のみ公開、個人情報は非公開としています。
「そうだ、Bさんの掲示板もチェックしなきゃ。」
「面白そう!なにかしら?」
A子さんはリンクをクリックしましたが、【完了しました】というメッセージが表示され、画面には他に何も表示されませんでした。
「なんにもないじゃない?」
翌日 ─
「ええっ!」
「困ったわ。研究所の博士に相談してみましょう。」
「どうして個人情報や友達にしか公開していない日記がすべてのユーザに公開されてしまったの?」
「公開は間違えてしたのではないのですね?」
「公開するためには何回も確認ボタンを押さなきゃいけないので、間違えて公開することはないです。」
「W社のSNSの利用中に、何かしたとか、変わったことはありましたか?」
「そういえば、友達の掲示板に書かれた、面白そうな話題のリンクをクリックしたら、何の話題も表示もされずに、すぐに「完了しました」という画面が出てきたわ。」
「あぁ、Bさんの掲示板のリンクは巧妙に細工されていますね。」
「これはCSRF(クロスサイト・リクエスト・フォージェリ)といいまして、ログインしているユーザ(A子さん)などに思ってもいない処理をさせてしまう攻撃方法なんですよ。」
“CSRF”=Cross-Site Request Forgeries
「くろすさいとりくえすと?」
「ちゃんとログインしているのに…。」
「ログインしているからこそすべての操作が可能なんですよ。」
「対策は、IPAのウェブサイト内の脆弱性ごとの対策ページを参照してくださいね。」