本文へスキップ
お問い合わせ

テクノロジ系 / セキュリティ

クロスサイトリクエストフォージェリ

クロスサイトリクエストフォージェリは、ログイン済み利用者に意図しないリクエストを送らせ、本人の操作に見せかける攻撃です。

別名・関連表記:CSRF

もう少し詳しく

クロスサイトリクエストフォージェリは、利用者が認証済みであることを悪用し、外部サイトから送金、設定変更、投稿などのリクエストを発生させます。対策はCSRFトークン、SameSite Cookie、重要操作の再認証などです。 クロスサイトリクエストフォージェリを単独で覚えるのではなく、同じ分野の関連語と比較して、何が違うのかまで説明できるようにします。

試験での見方

黒猫の闇の刻印

XSSはスクリプト実行、CSRFは本人の権限を利用した不正リクエストです。攻撃の主体と対策を分けましょう。 問題文ではクロスサイトリクエストフォージェリが何を判断する合図なのかを確認しましょう。

例:ログイン中の利用者に罠ページを開かせ、本人が押していない変更リクエストを送らせます。 実際のシステムや業務のどこで使うかを一言で説明できると理解が安定します。

分類

テクノロジ系 / 技術要素 / セキュリティ

小分類:情報セキュリティ

関連トピック:攻撃手法

情報の根拠

IPA FEシラバス Ver.9.2 の用語例をもとに、試験対策向けに独自解説しています。

試験要綱 Ver.5.5 FEシラバス Ver.9.2

関連用語

DNS キャッシュポイズニング IP スプーフィング OS コマンドインジェクション SQL インジェクション セッションハイジャック ・DoS(Denial of Service:サービス妨害)攻撃

セキュリティの用語一覧へ

科目Aの問題演習に戻る 科目Bの問題演習に戻る 基本情報 用語集トップ 基本情報トップ