この記事の目次
CSRFとは?
![](https://b-engineer-media-cms.s3.amazonaws.com/item/image/user/8c7f204d9ede4027afb1e4450514b993d07cd4a1/660227e9-6a91-4eeb-9c7a-32517e6a6ec4.jpg)
CSRFの攻撃方法と特徴
![](https://b-engineer-media-cms.s3.amazonaws.com/item/image/user/356a192b7913b04c54574d18c28d46e6395428ab/6800e2eb-fdc2-41e9-a2c2-cd00a1953282.jpg)
CSRF攻撃への対策方法
![](https://b-engineer-media-cms.s3.amazonaws.com/item/image/user/8c7f204d9ede4027afb1e4450514b993d07cd4a1/cc5cf742-511e-4170-b2ac-99d2cb2c1d9e.jpg)
ユーザーが行うべき対策
ユーザーが行うべき対策は、偽のWebサイトにアクセスしない、ということになります。 CSRF攻撃は、偽のWebサイトにアクセスすることをトリガーとして、攻撃を行います。そのため、偽のWebサイトにアクセスすることがなければ、CSRF攻撃を受けることはないのです。 これを踏まえて具体的な対策方法を考えると、まずは、メールや、Web上に存在する、出所などが不明瞭なURLを簡単にクリックしないことが一つ挙げられます。 最近は、フィッシング詐欺などが横行したこともあったため、こういったことが当然になりつつありますが、CSRF攻撃に対しても有効な対策になります。 もう一つの具体的な対策方法としては、デバイス上のセキュリティ対策で、偽のWebページがある不正なサイトへのアクセスをブロックする、というものです。 結果的に言えば、どちらの対策も、偽のWebサイトにアクセスしないための対策となるため、インターネットを利用してWebサイトへ訪問する際は、しっかりと訪問先サイトの安全性を確認するということが重要となります。Web管理者が行うべき対策
Web管理者が行うべき対策は、自分たちのWebサイトやアプリケーションが、サイト外からのリクエストを受信、処理しないシステムを設計する、ということになります。 そのために、攻撃者が推測しにくい任意の情報、すなわち、ランダムな数字や、ページトークンなどの情報を、照合する処理の実装が一つの対策方法となります。 もう一つの対策方法は、セキュリティ向上のための画像認証機能である、「CAPTCHA機能」を実装することです。CAPTCHA機能は、ランダムな文字が書かれた画像が表示され、これに対して正しく回答できなければリクエストの受信を拒否するものです。 また、「私はロボットではありません」の項目とチェックボックスが追加され、これにチェックを入れなければリクエストの受信を拒否するといったものもあり、ランダムな文字列の画像生成よりもセキュリティ面では劣りますが、より簡易的なCAPTCHA機能として最低限の効果は発揮します。IT管理者が行うべき対策
IT管理者が行うべき対策は主に3つで、「エンドポイントへの総合的なセキュリティソフトの導入」と「外部不正サイトへのアクセスを、ネットワーク内部からブロックする」、そして「メールサーバーでの不審なメールの検出」になります。SalesforceでのCSRFの対策
![](https://b-engineer-media-cms.s3.amazonaws.com/item/image/user/9e08934fd24485c7d9e691a312f16a4ef7ff96eb/654bd373-e8cd-4bfa-b2e9-6a2405b5a5ff.jpg)
注意点
SalesforceのLightning Platform内では、上述のとおり、対CSRFトークンにより対策が行われていますが、注意しなければならないことが二点あります。 まず一つ目は、独自のactionメソッドを作成するなどで、開発者がリスクを意識せずに組み込み防御策をスキップしてしまう場合があるということです。 回避策として、アクションを実行する前に中間の確認ページを挿入することで、ユーザーが本当にそのページを開こうとしているのか確認するという方法が挙げられます。これにより、その確認に答えることができなければリクエストに答えることがなくなり、防御策として機能します。 二つ目は、ユーザーが複数のSalesforceログインページを開いていると、CSRFに対するSalesforceの組み込み防御策が作動し、エラーが表示されてしまうことがあるということです。 一つのタブでSalesforceにログインし、その後、別のタブでログインしようとすると、「送信したページは、セッションに対して無効でした。」というエラーが表示されてしまいます。これは、ログインページを更新するか、別でログインをもう一度試みることで解決します。Salesforceのユーザーが行うべき対策
Salesforceのユーザーが行うべき対策は、基本的には上で書いた「CSRF攻撃への対策方法」のユーザーが行うべき対策とほとんど同じです。 信頼性の低いWebサイトには訪問しないようにし、身に覚えのない操作履歴等があれば、すぐに確認するようにしましょう。 また、これも基本的な対策となりますが、CSRF攻撃のログインしている状態を狙うという特性から、サービスの利用後は逐一ログアウトする、ということも効果的です。これにより、もし偽のWebサイトへアクセスしてしまったとしても、CSRF攻撃を受けることはありません。CSRFについて理解し、セキュリティの向上を!
![](https://b-engineer-media-cms.s3.amazonaws.com/item/image/user/356a192b7913b04c54574d18c28d46e6395428ab/272a2336-5b05-41db-9794-42346b1c6582.jpg)
この記事の監修者・著者
![株式会社オープンアップITエンジニア](https://tenshoku-careerchange.jp/wp-content/uploads/2023/07/fzxADbr-_400x400-1-150x150.jpg)
-
未経験からITエンジニアへのキャリアチェンジを支援するサイト「キャリアチェンジアカデミー」を運営。これまで4500人以上のITエンジニアを未経験から育成・排出してきました。
・AWS、salesforce、LPICの合計認定資格取得件数:2100以上(2023年6月時点)
・AWS Japan Certification Award 2020 ライジングスター of the Year 受賞
最新の投稿
- 2024年3月26日キャリア・転職保安職(自衛官・警察・消防官など)に向いている人の性格・特徴ランキング【現役保安職(自衛官・警察・消防官など)36人が回答】
- 2024年3月26日キャリア・転職保安職(自衛官・警察・消防官など)に必要なスキルランキング&スキルアップの方法とは?【現役保安職(自衛官・警察・消防官など)36人が回答】
- 2024年3月26日キャリア・転職クリエイター職(ライター・デザイナー・編集)に向いている人の性格・特徴ランキング【現役クリエイター職(ライター・デザイナー・編集)64人が回答】
- 2024年3月26日キャリア・転職クリエイター職(ライター・デザイナー・編集)に必要なスキルランキング&スキルアップの方法とは?【現役クリエイター職(ライター・デザイナー・編集)64人が回答】