HOME >> 情報セキュリティ >> 脆弱性対策 >> 知っていますか?脆弱性 (ぜいじゃくせい) >> 3. CSRF (クロスサイト・リクエスト・フォージェリ) >> 解説

ウェブサイトにおける脆弱性解説

2007年7月12日 掲載

3. CSRF (クロスサイト・リクエスト・フォージェリ)

運営者の方

  • 開発時 (問題の原因となる脆弱性を作りこまない)
    • ウェブアプリケーションを開発する場合には「安全なウェブサイトの作り方」や「IPA ISEC セキュア・プログラミング講座」を参考にした上、必要な安全対策を実施し、脆弱性を作りこまないように開発することをおすすめします。開発を委託する場合にも、自社で開発する場合と同様に、上記の対策を実施することをおすすめします。
    • 開発したものを公開したり、納品されたものを検収したりする際には、「安全なウェブサイトの作り方」のチェックリストを利用して、自社のウェブサイトにおけるセキュリティ実装の対応状況を確認することができます。
    • 問題の解決にソフトウェアの改修が必要な場合がありますので、改修のための予算を確保しておくことをおすすめします。また、開発を委託している場合には、瑕疵担保等の責任範囲を明確にしておくことをおすすめします。
  • 運用時 (被害にあったら気づけるように)
    • 運用中、新しい攻撃手法の発見等により、新たな問題が発生する可能性がありますので、定期的にセキュリティ監査を行うことをおすすめします。
  • 問題発生時およびその後 (被害が発生したと気づいたら)
    • 原因箇所を修正しましょう。すぐに修正が難しい場合には、ウェブサイトの一部や全体の公開を一時停止することを検討することをおすすめします。
    • 本問題は、ウェブサイトで行える操作の内容によって、脅威が異なる問題であるため、脅威の大きさに応じて対処する必要があります。たとえば、本問題を悪用して、個人情報や金銭に関わる操作を利用者に強要することができる場合などには、早急な対応が必要です。

一般の利用者の方

  • 利用時 (被害にあわないために)
    • ウェブサイトにログインして作業を行う場合には、なるべくその作業だけをするようにし、作業後は必ずログアウトするようにしましょう。
  • 問題発生時 (被害が発生したと気づいたら)
    • 運営者に問い合わせましょう。
    • 金銭被害等があれば各関係機関に連絡をしましょう。