クロスサイトリクエストフォージェリ(CSRF)

クロスサイトリクエストフォージェリ (Cross Site Request Forgery: CSRF)とは、Web ページへの要求(リクエスト)を偽造(フォージェリ)することでTE当な認証済み利用者」になりすまして処理を実行する攻撃手法です。CSRF の具体的な攻撃方法については右ページの図を参照してください。この攻撃手法の特徴としては、攻撃者はユーザーを攻撃するにあたり、正当な証済み利用者になりすますため、「認証を突破する必要がない」ところにあります。

このため、CSRF においては、パスワードの複雑さや堅牢さはセキュリティ対策にはなりません。CSRF は結構怖いCSRF では主に、認証が必要な重要な機能(パスワード変更、決済、掲示板の書き込みなど)が狙われます。パスワードが盗まれると、以降はその人になりすましてログインできるので、その結果、アカウントを乗っ取ることができ、さらなる被害につながります。

また、現実に2012~13年の一連の遠隔操作事件(2ちゃんねる、大阪府、横浜市などの複数の掲示板に殺害予告、脅迫などの書き込みが行われた事件)のうち、横浜市に対する脅迫の書き込みは、CSRF によって行われました。CSRF では、サイトへの要求(リクエスト)が、攻撃者からでなく、知らずに踏み台になっている正規利用者から送信されるため、その正規利用者が実行犯と見なされる危険があります。

実際に遠隔操作事件では、踏み台になった利用者が誤認逮捕されるに至ったのは記憶に新しいところです。CSRF を許す脆弱性と対策一般ユーザーにとって、CSRF の攻撃対象にならないようにする防御手段としては、「怪しいWeb サイトにはアクセスしない」「脆弱性のある Web サイトは使わない」ぐらいしかありません。Web サイトや Web サービスの開発側としては、偽造されたリクエストを判別·検出するための機能の実装が CSRF対策として考えられます。

ランサムウェア

2016年あたりから、ランサムウェアというマルウェアが世間を騒がせています。2017年5月には、「WannaCry」という名前のランサムウェアの感染により、世界ワナクライ中で7万台以上のパソコンが被害を受けました。

ランサムウェアとは

ランサムウェアとは、感染させた人のコンピューターのデータを人質にとるアとにより、身代金(ランサム)を要求するマルウェアです。人質のとり方は、感染さ#たコンピューターのデータを暗号化して読めなくしてしまうことで行います。現代の暗号化技術では、暗号化を解く(復号する)鍵がなければ、自力で暗号を解くのはほぼ不可能です(p.138)。ランサムウェアの仕掛け人はこの点を悪用して、「身代金を払えば、暗号化したデータを復号して見えるようにしてやる」と脅してきます。

ランサムウェアの攻撃対象はパソコンだけではなく、スマートフォンなどが感染する場合もあります。典型的な感染の経路は、標的型攻撃 でも使われる電子メールです。ランサムウェアが添付されたメールをうっかり開いてしまうと、感染してコンピューター上のデータが暗号化され、見ることができなくなります。

ランサムウェアへの対処

では、もしランサムウェアによってデータを見ることができなくなってしまったら、復号してもらうために身代金を払うべきでしょうか? これは2つの理由で払うべきではありません。1つは、払ったとしても復号してもらえる保証がないこと、もう1つは、払ったお金がサイバー攻撃をしているような犯罪者たちの資金源になってしまうことです。

まず、予防策として「怪しいメールの添付ファイルを開かない」 「OS やアプリケーションを常に最新の状態に更新する」などを行ったり、感染時の対策として「ファイルを定期的にバックアップする」などを行うのがよいでしょう。暗号化されてしまったデータは諦めるしかありませんが、大事なデータは、バックアップをとっておけはシステムをリカバリした後で再び使うことができます。