脅迫メールにCSRFを使用した手口が浮上
最近の遠隔操作ウイルス等を利用した脅迫メール等の送信の手口の中に、CSRF(リクエスト強要)を利用した可能性のあるものがあることが判明した。
某政令指定都市の意見フォームに、脅迫メールが送信された事件が、この手口を使用している。
具体的(ただしこの手段は1つの例である)には、まず、掲示板等の不特定多数が投稿可能なWebサイトに、攻撃を行うためのスプリクトを記載したWebページへのリンクを投稿する。掲示板の利用者が、このWebページへのリンクを開くと、攻撃を行うためのスプリクトが起動し、脅迫メールがターゲットに送信される。
スプリクトを記載したWebページには、メールフォームへ送信するデータ(実際のメールフォームから抽出したものが多いが、これに限定しない)と、送信に必要な簡単なプログラム(ページを開くと、先程のデータがメールフォームあてに自動的に送信されるようなプログラム)が入っている。このとき、メールフォームに通知される送信元のIPアドレスは、Webページを開いた人のIPアドレスが通知され、Webページの製作者のIPアドレスは通知されない。ただし、(設定にもよるが)攻撃用のWebページのURL(Referer情報)がメールフォームに送信されることもあるため、そこから犯行が判明する可能性もある。しかし、Webページは目的が完了したら即刻削除すればよいので、Webページが犯行に使用されたものなのかは分かりにくい。
Webサイトの運営者の対処方法としては、フォームを開いたときに利用者ごとに固有のキーを送信し、実際の処理実行時に受け取ったキーと先に送信したキーを比較し、一致すれば処理を実行するが、一致しない場合は処理を中止するといった対策が有効である。この対策は、会員制サイトの会員専用ページにはよく採用されるが、一般用のお問い合わせフォームなどには、あまり採用されるところを見掛けない。今回の事件をきっかけに、一般向けのお問い合わせフォームにも、このような機能を追加すべきであると考える。もしくは、Referer情報を確認する手法もあるが、この手法の場合、利用者が設定でRefererを無効にした場合の対応が課題である。なお、GET禁止はCFRFの対策とはならない(簡易的な攻撃には有効ではあるが)ので注意が必要(攻撃者は、POSTを使用して攻撃を仕掛けようとする可能性もある)