PR

 遠隔操作ウイルス事件の報道は減ってきたが、犯人は捕まっておらず安心はできない。なりすましで犯罪予告や脅迫を行うには、必ずしもウイルスを使う必要はない。電子掲示板などのサービスを提供するサイトでは、クロス・サイト・リクエスト・フォージェリー(CSRF)という不正サイトを使ったなりすましへの対策も必要になる。

 遠隔操作ウイルス事件の犯人は、なりすます相手の端末を悪用して、電子掲示板や問い合わせフォームに犯罪予告や脅迫メッセージを書き込ませる際、主にウイルスを利用していた。そのため、ウイルスに感染しなければ、なりすましの攻撃には無縁だと考えている人がいるかもしれない。

 しかし、他人になりすまして犯罪予告や脅迫を行う場合、必ずしもウイルスを利用する必要はない。特に警戒したいのは、CSRFである。遠隔操作ウイルス事件でも横浜市のサイトへの書き込みには、ウイルスではなくCSRFが利用されたといわれる。

 CSRFは、細工したWebページを用意し、そのWebページにアクセスさせることで、端末に不正な処理を実行させる手口である。細工したWebページのURLを一般の電子掲示板に記載したり、電子メールに記載して送りつけたりすることで、端末利用者を誘導する()。

図●クロス・サイト・リクエスト・フォージェリーの仕組み
[画像のクリックで拡大表示]

 例えば、犯罪予告や脅迫メッセージを電子掲示板などに書き込む処理をスクリプトで記述したWebページを作ってアクセスさせれば、端末利用者本人の意思と関係なく、電子掲示板などに指定したメッセージを書き込ませることができる。

この記事は会員登録で続きをご覧いただけます

日経クロステック登録会員になると…

新着が分かるメールマガジンが届く
キーワード登録、連載フォローが便利

さらに、有料会員に申し込むとすべての記事が読み放題に!
日経電子版セット今なら2カ月無料