CSRF
読み
シーサーフ
意味
- ユーザーが意図せずに別のサイトで操作を実行させられる攻撃
- ログイン状態を悪用して、勝手に送金やパスワード変更などを実行させる攻撃手法
比喩
お店で『スマホを預けてください』と言われて預けたら、店員が勝手にそのスマホで送金アプリを操作して、自分の口座にお金を振り込んでいたようなもの。
語源
Cross-Site Request Forgery = クロスサイトリクエストフォージェリ
例文
- 罠サイトからCSRF攻撃で銀行振込を実行される。
- CSRFトークンで正当なリクエストかを確認する。
よくある勘違い
- CSRFはパスワードを盗む攻撃だと思うこと → パスワードを盗まず、ログイン状態を悪用する攻撃です。