クロスサイト リクエスト フォージェリ (CSRF) は、XSRF、Sea Surf、またはセッション ライディングとも呼ばれ、Web アプリケーションがユーザーのブラウザーに対して持つ信頼を悪用するサイバー攻撃の一種です。これは、悪意のある Web サイトまたは電子メールがユーザーのブラウザーを騙して、ユーザーが認証されている別の Web サイトで望ましくないアクションを実行させる場合に発生します。これにより、不正な資金移動、パスワードの変更、セッション クッキーの盗難を含むデータの盗難など、さまざまな悪影響が生じる可能性があります。
CSRF 攻撃では、攻撃者は、標的の Web アプリケーションに対して正当なリクエストのように見えるリクエストを作成します。このリクエストは、ターゲット サイトですでに認証されている被害者のブラウザーから送信されます。アプリケーションは、ユーザーからの正当なリクエストと攻撃者からの偽造リクエストを区別できないため、悪意のあるリクエストを有効なリクエストとして処理します。この攻撃は、ユーザーのブラウザーがリクエストに Cookie や認証トークンなどの資格情報を自動的に含めることに依存しています。
CSRF 攻撃は、フィッシング メールの送信や、正当に見える Web サイトへの悪意のあるリンクの埋め込みなど、ソーシャル エンジニアリング手法を通じて実行されることがよくあります。ユーザーがリンクをクリックしたり、悪意のあるコンテンツとやり取りしたりすると、偽造されたリクエストがユーザーの知らないうちに、または同意なしに、ターゲット アプリケーションに送信されます。
CSRF 攻撃のリスクを軽減するために、Web 開発者はさまざまなセキュリティ対策を実装できます。一般的なアプローチの 1 つは、アンチ CSRF トークンを使用することです。これは、フォームに含まれ、リクエストごとにサーバーによって検証される、一意のランダムに生成された値です。これにより、リクエストがサードパーティのサイトからではなく、アプリケーション自体のインターフェイスから発信されたことが保証されます。さらに、Cookie に「SameSite」属性を設定すると、Cookie の使用をファーストパーティのコンテキストに制限できるため、CSRF 攻撃のリスクを軽減できます。
全体として、CSRF 攻撃を理解して防御することは、Web アプリケーションのセキュリティと整合性を維持し、ユーザーの機密情報を保護する上で不可欠です。