戦国IT

情報処理技術者試験の無料過去問対策サイト

ホーム > 情報処理安全確保支援士試験 > 2019年 春期

情報処理安全確保支援士試験 2019年 春期 午前210

クロスサイトリクエストフォージェリ攻撃の対策として, 効果がないものはどれか。
Webサイトでの決済などの重要な操作の都度、利用者のパスワードを入力させる。
Webサイトへのログイン後, 毎回異なる値を HTTPレスポンスに含め、 Webブラウザからのリクエストごとに送付されるその値を, Web サーバ側で照合する。
Webブラウザからのリクエスト中の Referer によって正しいリンク元からの遷移であることを確認する。
Webブラウザからのリクエストを Webサーバで受け付けた際に, リクエストに含まれる“<” や “>” などの特殊文字を, タグとして認識されない “<” や “>” などの文字列に置き換える。(正解)

解説

クロスサイトリクエストフォージェリ攻撃の対策として, 効果がないものはどれか。【午前2 解説】

要点まとめ

  • 結論:選択肢エの「特殊文字のエスケープ」はCSRF対策として効果がありません。
  • 根拠:CSRFはユーザの意図しないリクエストを強制的に送らせる攻撃であり、リクエストの正当性を検証する対策が必要です。
  • 差がつくポイント:CSRF対策はトークンの利用やRefererチェックなどリクエストの正当性確認が基本で、単なる入力値のエスケープは無関係です。

正解の理由

選択肢エは「リクエストに含まれる特殊文字をエスケープする」対策ですが、これは主にクロスサイトスクリプティング(XSS)対策であり、CSRF攻撃の防止には効果がありません。CSRFはユーザのブラウザが意図しないリクエストを送信することを狙うため、リクエストの正当性をサーバ側で検証する仕組みが必要です。したがって、エはCSRF対策として効果がないため正解です。

よくある誤解

特殊文字のエスケープはセキュリティ対策全般に有効と思われがちですが、CSRF対策には直接関係ありません。CSRFはリクエストの正当性検証が鍵です。

解法ステップ

  1. CSRF攻撃の特徴を理解する(ユーザの意図しないリクエストを送らせる攻撃)。
  2. CSRF対策の基本はリクエストの正当性を検証すること(トークンやRefererチェック)。
  3. 各選択肢の対策内容を確認し、CSRF対策に該当するか判断する。
  4. 特殊文字のエスケープはXSS対策であり、CSRF対策として効果がないことを見極める。
  5. 効果がないものとして選択肢エを選ぶ。

選択肢別の誤答解説

  • ア: 利用者のパスワード再入力は重要操作の正当性確認として有効であり、CSRF対策になる。
  • イ: 毎回異なる値(CSRFトークン)を照合する方法はCSRF対策の代表例である。
  • ウ: Refererヘッダによる遷移元確認もCSRF対策として一定の効果がある。
  • エ: 特殊文字のエスケープはXSS対策であり、CSRF攻撃の防止には効果がない。

補足コラム

CSRF対策の代表的な方法は「CSRFトークンの利用」です。これはサーバが生成したランダムな値をフォームやHTTPヘッダに含め、サーバ側で照合することで正当なリクエストかを判定します。Refererチェックは便利ですが、ユーザの環境によってはRefererが送信されない場合もあり、単独では不十分なことがあります。特殊文字のエスケープはXSS対策であり、CSRFとは異なる攻撃手法に対する防御策です。

FAQ

Q: CSRFトークンはどのように機能しますか?
A: サーバが生成した一意のトークンをフォームやHTTPヘッダに埋め込み、リクエスト時にそのトークンが正しいかサーバ側で検証します。
Q: RefererチェックだけでCSRF対策は十分ですか?
A: Refererチェックは有効ですが、ユーザのブラウザ設定やプロキシによってRefererが送信されない場合もあるため、CSRFトークンと併用するのが望ましいです。
Q: 特殊文字のエスケープはどんな攻撃に有効ですか?
A: 主にクロスサイトスクリプティング(XSS)攻撃に対して有効で、HTMLやJavaScriptの文脈で悪意あるコードの実行を防ぎます。
関連キーワード: CSRF, クロスサイトリクエストフォージェリ, CSRFトークン, Refererチェック, XSS, セキュリティ対策
← 前の問題へ次の問題へ →

©︎2025 情報処理技術者試験対策アプリ