ホーム > 情報処理安全確保支援士試験 > 2024年 春期
情報処理安全確保支援士試験 2024年 春期 午前2 問01
クロスサイトリクエストフォージェリ攻撃の対策として、効果がないものはどれか。
ア:Webサイトでの決済などの重要な操作の都度、利用者のパスワードを入力させる。
イ:Webサイトへのログイン後、 毎回異なる値を HTTP レスポンスボディに含め, Web ブラウザからのリクエストごとに送付されるその値を, Web サーバ側で照合する。
ウ:Webブラウザからのリクエスト中の Referer によって正しいリンク元からの遷移であることを確認する。
エ:Webブラウザからのリクエストを Web サーバで受け付けた際に, リクエストに含まれる “<”, “>” などの特殊文字を, “<”, “>” などの文字列に置き換える。(正解)
解説
クロスサイトリクエストフォージェリ攻撃の対策として、効果がないものはどれか。【午前2 解説】
要点まとめ
- 結論:選択肢エの「特殊文字の置換」はCSRF対策として効果がありません。
- 根拠:CSRFはユーザの意図しないリクエストを強制的に送らせる攻撃であり、リクエスト内容の検証や認証が必要です。
- 差がつくポイント:CSRF対策はトークンの検証やパスワード再入力などリクエストの正当性を確認する方法が有効で、単なる文字置換は無関係です。
正解の理由
選択肢エはリクエストに含まれる特殊文字をエスケープする処理であり、これは主にクロスサイトスクリプティング(XSS)対策です。CSRF攻撃はユーザのブラウザが意図しないリクエストを送信することを狙うため、リクエストの正当性を検証する仕組みが必要です。特殊文字の置換はリクエストの正当性確認には寄与しないため、CSRF対策としては効果がありません。
よくある誤解
特殊文字のエスケープはセキュリティ対策全般に有効と思われがちですが、CSRF対策には直接関係しません。CSRFとXSSは攻撃の性質が異なるため、対策も区別が必要です。
解法ステップ
- CSRF攻撃の特徴を理解する(ユーザの意図しないリクエストを強制送信)。
- 各選択肢の対策内容を確認し、CSRF対策に該当するか判断する。
- パスワード再入力やトークン検証はCSRF対策として有効。
- Refererチェックも一定の効果があるが完全ではない。
- 特殊文字の置換はXSS対策であり、CSRF対策としては無効と判断する。
選択肢別の誤答解説
- ア: 重要操作時にパスワード再入力は本人確認の強化でCSRF対策として有効です。
- イ: 毎回異なる値(CSRFトークン)を検証する方法は最も一般的で効果的なCSRF対策です。
- ウ: Refererヘッダのチェックは不完全ながらCSRF対策の一つとして利用されます。
- エ: 特殊文字の置換はXSS対策であり、CSRF攻撃の防止には効果がありません。
補足コラム
CSRF対策の基本は「リクエストの正当性を検証すること」です。代表的な方法はCSRFトークンの利用で、サーバが発行したトークンをリクエストに含めて照合します。Refererチェックは簡易的ですが、ヘッダの改ざんや非送信の可能性があるため補助的に使われます。XSS対策はHTMLエスケープや特殊文字の置換であり、CSRFとは異なる攻撃手法です。
FAQ
Q: CSRFトークンはどのように機能しますか?
A: サーバが生成した一意のトークンをフォームやリクエストに埋め込み、受信時に照合して正当なリクエストか確認します。
A: サーバが生成した一意のトークンをフォームやリクエストに埋め込み、受信時に照合して正当なリクエストか確認します。
Q: RefererチェックだけでCSRF対策は十分ですか?
A: いいえ。Refererは送信されない場合や改ざんされる可能性があるため、CSRFトークンと併用するのが望ましいです。
A: いいえ。Refererは送信されない場合や改ざんされる可能性があるため、CSRFトークンと併用するのが望ましいです。
Q: XSS対策とCSRF対策は同じですか?
A: いいえ。XSSはスクリプトの不正実行を防ぐ対策で、CSRFは不正なリクエスト送信を防ぐ対策です。
A: いいえ。XSSはスクリプトの不正実行を防ぐ対策で、CSRFは不正なリクエスト送信を防ぐ対策です。
関連キーワード: CSRF, クロスサイトリクエストフォージェリ, セキュリティ対策, CSRFトークン, Refererチェック, XSS, 特殊文字エスケープ