CSRF 【Cross Site Request Forgeries】 クロスサイトリクエストフォージェリ / XSRF

攻撃者はあるサイトへ特定のリクエストを発生させるURL（Webアドレス）を用意し、何らかの方法でこれを偽装・隠蔽してWeb閲覧者に開かせる。閲覧者は気付かずに、あるいは何のURLであるかを誤認して開き、攻撃者の意図したリクエストを発生させてしまう。

URLを開かせる手法はいくつか知られており、Webページやメール本文にリンク先について虚偽の内容を記載したリンクを設置する、HTMLのimgタグのようにページを開くと自動的にURLが読み込まれるタグを悪用する、ページ上にURLを読み込ませるようなスクリプト（JavaScript）や自動転送（HTTPリダイレクト）などを仕掛ける、といった手口が有名である。

URLを開くことによって生じる被害や被害者も様々で、多数の閲覧者から同時に特定のサイトへリクエストを発生させて機能不全に陥らせるDDoS攻撃として用いられることもあれば、URLがSNSやネットサービスなどの手続きや操作を表しており、閲覧者の個人データやアカウント情報の漏洩や改竄、意図しない決済や送金、手続きの執行などの被害を被ることもある。

また、攻撃者が閲覧者になりすまして外部へ攻撃や迷惑行為を働く場合もあり、閲覧者が身に覚えがないまま名誉毀損や業務妨害の加害者に仕立て上げられることがある。2012年に日本で発生した、いわゆる遠隔操作ウイルス事件では、真犯人がこの手口で別の人のWebブラウザから電子掲示板に犯行予告を書き込み、その人が犯人と疑われ検挙される被害が生じた。

CSRF攻撃の標的となるのは、いきなり特定のURLへアクセスするだけで何らかの操作や手続きが完了してしまうWebサイトやWebアプリケーションで、このような状態をCSRF脆弱性という。よく知られる対策法として、送信元のチェックや、利用者が意図してアクセスしたものかの確認（確認画面の表示や画像認証など）、サイト側から発行した情報の提示を求める等の手法があり、これらを組み合わせて十分なチェックを行うのが望ましいとされる。

関連用語

Cookie

【クッキー】

Webサイト

【website】

アカウント

【account】

クリック

【click】

サーバ

【server】

セッション

【session】

ログイン

【login】

アプリケーションソフト

【application software】

クロスサイトスクリプティング

【XSS】

アクセス

【access】

サイバー攻撃

【cyberattack】

脆弱性

【vulnerability】

SNS

【Social Networking Service】

リファラ

【referer】

ブラウザ

【browser】

システム

【system】

トークン

【token】

ツール

【tool】

フォーム

【form】

セキュリティ

【security】