<前の日記(2005年10月18日) 次の日記(2005年11月18日)> 最新 編集

高木浩光@自宅の日記

目次 はじめに 連絡先:blog@takagi-hiromitsu.jp
訪問者数 本日: 573   昨日: 3852

2005年10月20日

CSRF対策は進んでいるか

7月3日の日記で「クロスサイトリクエストフォージェリ(CSRF)対策がいまいち進まなかったのはなぜか」というのを書いたが、 ようするに、CSRF攻撃によってどんな被害が起きるのかが、各サイトの各ペー ジごとに異なり、その差が大きいため、一律に対策が必要ということは誰にも 言い出せなかったためと思われる。日記で、

たとえば、4月19日の「水無月ばけらのえび日記」などにも書かれているように、パスワード変更機能で旧パスワードの同時入力がないと、CSRFによってパスワードを強制的に任意の文字列に変更されてしまうという脅威があることになる。変更したパスワードで不正アクセスされれば、それによって起きる被害は、ユーザに降りかかってくる。

他にも、ログイン中のWeb操作で変更が可能な設定項目によって、公開か非公開かを変更できるようなシステムの場合、非公開にしていたはずのコンテンツを、CSRF攻撃によっていつのまにか公開に設定変更させられていたという被害が考えられる。この被害はユーザにとって取り返しのつかない事態となり得るので、サービス提供者にそうした被害につながるCSRFへの対策を求めることの妥当性は、高いものとなる。

と書いていたように、いくつか致命的となるケースはあるものの、しかしなが ら、たとえば、登録してある住所や電話番号などを改竄される(しかし閲覧は されない)という攻撃については、ただちに利用者に被害があるとまではいえ ない(「改竄されたらバックアップから元に戻せばいい」と判断するとか)と 理解されそうな問題であった。

ところが、今月14日に次の報道があった。

ガンホー・オンライン・エンターテイメントの発表にあるように、この事件で の被害は、登録情報の改竄だけだったらしい。

(1)2005年3月27日に発生した不正アクセス
(確認された被害状況)
550件の顧客情報を対象としたデータ(GungHo-IDのパスワード、メールアドレ ス、秘密の質問、秘密の答え)の改ざん
クレジット情報を含む「信用情報」に関しましては、改ざんの事実はありませ ん。

(2)2005年6月27日に発生した不正アクセス
(確認された被害状況)
502件の「ラグナロクオンライン」のアトラクションID及びそのパスワードの 改ざん
クレジット情報を含む「信用情報」、個人情報の改ざん及び不正アクセスは行 われておりません。

当社ネットワークへの不正アクセスに関する調査結果について, ガンホー・オンライン・エンターテイメント, 2005年10月13日

今回の被害の原因となった脆弱性の種類についてはガンホーは公表していない ので知らないが、一般的に言えば、CSRF攻撃を許してしまう脆弱性があるサイ トの場合、これと同様の被害をもたらす場合がある。

犯人の悪意が「脆弱性を攻撃して可能なことは何でもやる」という強いものだ とすると、被害が限定的であったのは、存在した脆弱性が、エントリごとの改 竄だけ可能で、全体を改竄することはできず、情報の持ち出しもできないとい うものだったのかもしれない。そういう性質を持つ脆弱性としては、SQLイン ジェクション脆弱性でもケースによってはそういうこともありそうだが、CSRF 脆弱性がまさにそのようなケースに該当することが多そうだ。

ガンホーの事例は、原因こそ公表されなかったものの、ユーザのエントリごと の情報改竄であっても深刻な問題となることを示した。

ただ、ガンホーの事例では、3月と6月のどちらでもパスワードの改竄が起きて いるので、そのため致命的な問題と判断されているだけなのかもしれない。パ スワードを含まない個人情報だけの改竄が起きた場合に、どのような扱いとな るかは、まだ公表された前例がないのかもしれないが、その種の結果を招く CSRF脆弱性への対策は必要性が高まっているように思われる。

本日のTrackBacks(全1件) [TrackBack URL: http://takagi-hiromitsu.jp/diary/tb.rb/20051020]

[http://bakera.jp/hatomaru.aspx/ebi/topic/2443:title] スクリプト無効でも被害に遭う可能性があるのですが、そこが誤解されていないかちょっと心配ですね。 [http://itpro.nikkeibp.co.jp/article/COLUMN/20051104/224010/:title] http://bakera.jp/hatomaru.aspx/ebi/..

検索

<前の日記(2005年10月18日) 次の日記(2005年11月18日)> 最新 編集

最近のタイトル

2018年06月17日

2018年06月10日

2018年05月19日

2018年05月04日

2018年03月07日

2017年12月29日

2017年10月29日

2017年10月22日

2017年07月22日

2017年06月04日

2017年05月13日

2017年05月05日

2017年04月08日

2017年03月10日

2017年03月05日

2017年02月18日

2017年01月08日

2017年01月04日

2016年12月30日

2016年12月04日

2016年11月29日

2016年11月23日

2016年11月05日

2016年10月25日

2016年10月10日

2016年08月23日

2016年07月23日

2016年07月16日

2016年07月02日

2016年06月12日

2016年06月03日

2016年04月23日

2016年04月06日

2016年03月27日

2016年03月14日

2016年03月06日

2016年02月24日

2016年02月20日

2016年02月11日

2016年02月05日

2016年01月31日

2015年12月12日

2015年12月06日

2015年11月23日

2015年11月21日

2015年11月07日

2015年10月20日

2015年07月02日

2015年06月14日

2015年03月15日

2015年03月10日

2015年03月08日

2015年01月05日

2014年12月27日

2014年11月12日

2014年09月07日

2014年07月18日

2014年04月23日

2014年04月22日

2000|01|
2003|05|06|07|08|09|10|11|12|
2004|01|02|03|04|05|06|07|08|09|10|11|12|
2005|01|02|03|04|05|06|07|08|09|10|11|12|
2006|01|02|03|04|05|06|07|08|09|10|11|12|
2007|01|02|03|04|05|06|07|08|09|10|11|12|
2008|01|02|03|04|05|06|07|08|09|10|11|12|
2009|01|02|03|05|06|07|08|09|10|11|12|
2010|01|02|03|04|05|06|07|08|09|10|11|12|
2011|01|02|03|05|06|07|08|09|10|11|12|
2012|02|03|04|05|06|07|08|09|
2013|01|02|03|04|05|06|07|
2014|01|04|07|09|11|12|
2015|01|03|06|07|10|11|12|
2016|01|02|03|04|06|07|08|10|11|12|
2017|01|02|03|04|05|06|07|10|12|
2018|03|05|06|
<前の日記(2005年10月18日) 次の日記(2005年11月18日)> 最新 編集