用語集 | ECサイト構築パッケージSI Web Shopping

クロスサイトリクエストフォージェリ(CSRF)とは

作成者: 株式会社DGコマース|2019.08.07

クロスサイトリクエストフォージェリ(CSRF)は、Webサイトの脆弱性およびその脆弱性に対して行われる攻撃の一種です。攻撃が仕掛けられたURLにアクセスしてしまうことで、攻撃が実行され、意図していない処理(例えばパスワードの変更)が勝手になされてしまう、といったものになります。

この攻撃の前提としてはECサイトにログイン済みで、ログイン中のセッションを保持していることです。その状態で、攻撃が仕掛けられたページにアクセスしてしまうと、ECサイトに対して不正なリクエストが投げられてしまい、そのECサイトが適切な対策をしていないと、その不正なリクエストが実行されてしまう、という流れになります。知らないパスワードに変更されてしまいログインできなくなってしまう、悪意のある書き込みをしたことにされてしまう、などイメージです。

ユーザー側の防御策としては怪しいURLをクリックしないことですが、ECサイト側としても外部からの不正なリクエストを受け付けないようにし、対策することが必要です。