問題
CSRF(クロスサイトリクエストフォージェリ)攻撃の対策として適切なものはどれか。
選択肢
- 1ア 全Cookieを無効にする
- 2イ セッションごとのトークン(ワンタイムトークン)を用いてリクエスト検証する
- 3ウ パスワードを暗号化する
- 4エ メール認証を導入する
正解
2. イ セッションごとのトークン(ワンタイムトークン)を用いてリクエスト検証する
詳しい解説を見る解説を閉じる
解説
正解はイ。CSRF(クロスサイトリクエストフォージェリ)は、ログイン済みのユーザを罠サイトへ誘導し、本人が意図しないリクエスト(送金・退会・設定変更など)を正規サイトへ送信させる攻撃である。サーバはCookieのセッション情報から正規ユーザの操作と誤認してしまう。対策は、セッションごとに秘密のトークンを発行してフォームに埋め込み、リクエスト受信時にトークンの一致を検証することである。アの全Cookie無効化は利便性を大きく損ない現実的でなく、ウのパスワード暗号化やエのメール認証はリクエストの正当性検証にはならない。基本情報では、XSSが「スクリプトの実行」、CSRFが「意図しないリクエストの強要」という攻撃の違いを区別させる問題が頻出である。
一問一答
科目A 180問+科目B 60問