FUNDAMENTAL INFORMATION TECHNOLOGY ENGINEER
基本情報技術者の問題解説:CSRFの説明として適切なものはどれか。
問題
CSRFの説明として適切なものはどれか。
- ア 利用者が意図しないリクエストを攻撃者が偽造し、Webアプリに送信させる攻撃(正解)
- イ Webサイトの入力フォームにスクリプトを埋め込む攻撃
- ウ サーバの管理者権限を奪取する攻撃
- エ 通信を盗聴して認証情報を取得する攻撃
出典:オリジナル問題|参考範囲:試験要綱Ver.5.5 / FEシラバスVer.9.2 科目A範囲
正解と解説
正解:利用者が意図しないリクエストを攻撃者が偽造し、Webアプリに送信させる攻撃
正解はア:CSRF(Cross-Site Request Forgery)は、利用者がログイン済みの正規サイトに対して、攻撃者が用意した別サイトなどから利用者の意図しないリクエストを送信させる攻撃です。利用者本人の認証情報がブラウザに残っているため、正規の操作のように処理されてしまう点が危険です。
具体例と対策:例えば、ログイン済みのネットサービスに対して、攻撃ページを開いただけで設定変更や送金リクエストが送られるようなケースが該当します。対策はCSRFトークンの検証、SameSite Cookie、重要操作時の再認証などです。
他の選択肢:イはXSS、エは盗聴による認証情報窃取に近い説明であり、CSRFとは攻撃の仕組みが異なります。
他の選択肢はなぜ違う?
- イスクリプトの埋め込みはXSS。
- ウ管理者権限の奪取は権限昇格攻撃の話。
- エ盗聴は通信傍受の攻撃。
この問題について
IPAが公開するシラバス・試験範囲・公開問題の出題形式を参考にした独自作成問題。公式問題・過去問題の転載ではありません。
公式試験問題、過去問題、公式サンプル問題、市販教材の問題文を転載したものではありません。