高木浩光＠自宅の日記

■ CSRF対策は進んでいるか

7月3日の日記で「クロスサイトリクエストフォージェリ（CSRF）対策がいまいち進まなかったのはなぜか」というのを書いたが、 ようするに、CSRF攻撃によってどんな被害が起きるのかが、各サイトの各ペー ジごとに異なり、その差が大きいため、一律に対策が必要ということは誰にも 言い出せなかったためと思われる。日記で、

たとえば、4月19日の「水無月ばけらのえび日記」などにも書かれているように、パスワード変更機能で旧パスワードの同時入力がないと、CSRFによってパスワードを強制的に任意の文字列に変更されてしまうという脅威があることになる。変更したパスワードで不正アクセスされれば、それによって起きる被害は、ユーザに降りかかってくる。

他にも、ログイン中のWeb操作で変更が可能な設定項目によって、公開か非公開かを変更できるようなシステムの場合、非公開にしていたはずのコンテンツを、CSRF攻撃によっていつのまにか公開に設定変更させられていたという被害が考えられる。この被害はユーザにとって取り返しのつかない事態となり得るので、サービス提供者にそうした被害につながるCSRFへの対策を求めることの妥当性は、高いものとなる。

と書いていたように、いくつか致命的となるケースはあるものの、しかしなが ら、たとえば、登録してある住所や電話番号などを改竄される（しかし閲覧は されない）という攻撃については、ただちに利用者に被害があるとまではいえ ない（「改竄されたらバックアップから元に戻せばいい」と判断するとか）と 理解されそうな問題であった。

ところが、今月14日に次の報道があった。

• ガンホー、不正アクセスに関する調査〜原因は判明、犯人は特定できず, INTERNET Watch, 2005年10月14日

ガンホー・オンライン・エンターテイメントの発表にあるように、この事件で の被害は、登録情報の改竄だけだったらしい。

（1）2005年3月27日に発生した不正アクセス
（確認された被害状況）
550件の顧客情報を対象としたデータ（GungHo-IDのパスワード、メールアドレ ス、秘密の質問、秘密の答え）の改ざん
クレジット情報を含む「信用情報」に関しましては、改ざんの事実はありませ ん。

（2）2005年6月27日に発生した不正アクセス
（確認された被害状況）
502件の「ラグナロクオンライン」のアトラクションID及びそのパスワードの 改ざん
クレジット情報を含む「信用情報」、個人情報の改ざん及び不正アクセスは行 われておりません。

当社ネットワークへの不正アクセスに関する調査結果について, ガンホー・オンライン・エンターテイメント, 2005年10月13日

今回の被害の原因となった脆弱性の種類についてはガンホーは公表していない ので知らないが、一般的に言えば、CSRF攻撃を許してしまう脆弱性があるサイ トの場合、これと同様の被害をもたらす場合がある。

犯人の悪意が「脆弱性を攻撃して可能なことは何でもやる」という強いものだ とすると、被害が限定的であったのは、存在した脆弱性が、エントリごとの改 竄だけ可能で、全体を改竄することはできず、情報の持ち出しもできないとい うものだったのかもしれない。そういう性質を持つ脆弱性としては、SQLイン ジェクション脆弱性でもケースによってはそういうこともありそうだが、CSRF 脆弱性がまさにそのようなケースに該当することが多そうだ。

ガンホーの事例は、原因こそ公表されなかったものの、ユーザのエントリごと の情報改竄であっても深刻な問題となることを示した。

ただ、ガンホーの事例では、3月と6月のどちらでもパスワードの改竄が起きて いるので、そのため致命的な問題と判断されているだけなのかもしれない。パ スワードを含まない個人情報だけの改竄が起きた場合に、どのような扱いとな るかは、まだ公表された前例がないのかもしれないが、その種の結果を招く CSRF脆弱性への対策は必要性が高まっているように思われる。