情報処理安全確保支援士試験 令和7年秋期午前Ⅱ クロスサイトリクエストフォージェリ攻撃
出典:令和7年秋期 午前Ⅱ 問16
分野:セキュリティ / セキュリティ実装技術
クロスサイトリクエストフォージェリ攻撃の対策として,効果がないものはどれか。
- ア:Webサイトでの決済などの重要な操作の都度,利用者のパスワードを入力させる。
- イ:Webサイトへのログイン後,HTTPレスポンスボディに含めた秘密の値と,Webブラウザから送付される値とを,Webサーバ側で照合する。
- ウ:Webブラウザからのリクエスト中のRefererによって正しいリンク元からの遷移であることを確認する。
- エ:WebブラウザからのリクエストをWebサーバで受け付けた際に,リクエストに含まれる"<",>"などの特殊文字を,"<",">"などの文字列に置き換える。
TSUNAGARU-ADVICE
まず押さえたいこと
クロスサイトリクエストフォージェリ対策では、そのリクエストが本当に正規の利用者の意思で送られたものかを確認できるかが重要です。
迷ったときの判断軸
有効な対策は、再認証を求める、秘密の値を照合する、遷移元を確認するなど、利用者の操作や送信元の正当性を確かめるものです。一方で、特殊文字を置き換える処理はXSS対策であり、CSRF対策にはなりません。攻撃の種類が違うと整理すると判断しやすくなります。
科目Bにつなげるために
科目Bでは、Web攻撃の対策を丸暗記するのではなく、その対策が何の攻撃を防ぐためのものかを対応付けて理解しているかが問われます。CSRF対策とXSS対策は混同しやすいため、攻撃の成立条件と対策の目的をセットで整理しておくことが重要です。
CSRFは、利用者がログイン済みであることを悪用して、利用者の意図しない操作リクエストを送らせる攻撃です。
対策としては、リクエストが「正規の画面遷移から発生したものか」を確認する仕組みが有効です。具体的には下記の通りです。
⇒重要操作の都度に再認証させることで、意図しない操作が成立しにくくなり有効です。
イ:Webサイトへのログイン後,HTTPレスポンスボディに含めた秘密の値と,Webブラウザから送付される値とを,Webサーバ側で照合する。
⇒CSRFトークン(秘密の値)を用いた照合であり、代表的な有効対策です。
ウ:Webブラウザからのリクエスト中のRefererによって正しいリンク元からの遷移であることを確認する。
⇒Referer確認であり、完全ではないものの一定の効果はあります。
エ:WebブラウザからのリクエストをWebサーバで受け付けた際に,リクエストに含まれる"<",>"などの特殊文字を,"<",">"などの文字列に置き換える。
⇒「<」「>」などの特殊文字をエスケープする処理で、主にXSS対策です。CSRFの成立条件(認証済みセッションの悪用)には直接関係しないため、CSRF対策としては効果がありません。
有効でないものを選ぶので、エが適切です。