CSRF（Cross Site Request Forgery）

CSRF（Cross Site Request Forgery）とは、webアプリケーションに存在する脆弱性の一種、また、その脆弱性を利用した攻撃方法のことです。

掲示板やアンケートフォームなどを処理する「フォーム」と呼ばれる機能を持っているwebアプリケーションが、本来拒否すべきはずの他サイトからの不正なリクエストを受け取り、処理してしまうことから被害が発生します。
この脆弱性を悪用すると、誰かになりすましてSNSにコメントしたり、掲示板やアンケートフォームに犯罪予告を不正に書き込んだり、オンラインショッピングサービスを勝手に利用すること等ができてしまいます。
＜攻撃の仕組み＞
(1) 攻撃者が不正リクエストを仕掛けた攻撃用のwebサイトを準備します。
(2) 攻撃者が、被害者が閲覧しているサイトやメールにURLを仕込む等して、攻撃用webサイトを見るように誘導します。
(3) 被害者が攻撃用webサイトを閲覧すると、攻撃用webサイトにあらかじめ用意された不正リクエストが攻撃対象のサーバーに送信されます。
(4) 攻撃対象のサーバー上のwebアプリケーションからすると、正規のユーザーが正当なリクエストを送信してきたと認識するので、不正リクエストはそのまま受け入れられ、処理が行われます。（ここがCSRFの脆弱性の厄介な所です）
(5) 攻撃用webサイトを閲覧している被害者は、アクセスするつもりのないwebサイトに強制的にアクセスさせられ、コメントなどが勝手に書き込まれます。
※書き込まれたWebサイトのアクセスログには、被害者のPCからのアクセス情報（IPアドレス等）が残ります。そのため、攻撃用webサイトに誘導された被害者が、攻撃対象のサーバーへ不正リクエストをした攻撃者として認識される恐れがあります。
＜CSRFの対策＞
・web管理者側
CSRFはwebアプリケーション全体に影響が及ぶので、設計段階から対策を行う必要があり、サイト外からのリクエストを受信、処理しないシステムを作り込むのが大事です。
ただ、CSRFの対策は全画面で行うわけではなく、パスワードの変更といった重要な処理を行うページを選別して行います。具体的には、攻撃者に推測されにくい、任意の情報を照合する処理（例えばセッションID、ページトークン、ランダム数字）を実装するといった方法です。画像化されたチェックコードを表示してユーザーに入力させる画像キャプチャ機能の実装も効果的です。
​
・ユーザー側
電子メールやwebサイト内に仕込まれた不審なURLを安易にクリックするのは避け、個人端末にもセキュリティソフトを導入し、攻撃用webページにアクセスするのを事前にブロックするのが最良の方法です。