1. まとめトップ

【危険】CSRFによる強制ログイン攻撃

CSRF脆弱性によって、ユーザが気付かないうちにアカウントを切り替えられる可能性があります。それに気付かず写真をアップロードしたりメールを送信したりすると、重大な情報流出を招くかもしれません。

更新日: 2012年05月27日

hachiBucchさん

  • このまとめをはてなブックマークに追加
14 お気に入り 10528 view
お気に入り追加

各サイトのログイン画面におけるCSRF対策状況

*注意* 独自に調査した結果です。

Dropbox

・対策トークン無し
・誰でもログイン可能

はてなブックマーク

・対策トークン無し
・誰でもログイン可能

Twitter

・対策トークンはあるが、誰でもログイン可能
・トークンをチェックしていない可能性がある。

mixi

・対策トークンはあるが、誰でもログイン可能
・トークンをチェックしていない可能性がある。

Facebook

対策トークンはあるが、クッキーの有無を確認している模様。
一度でもトップページにアクセスしていればログインできる。

このように、有名サイトですらログインページにCSRF対策を施していないことが分かります。

どのようにしてログインさせられるのか?

本当に簡単な方法で、しかもユーザが絶対に気付かないうちにログインさせられてしまいます!

例えば、Dropboxでは...

まず説明のために確認しておきます。
ログインしていない状態なのでアクセスしてもトップページです。

分かりやすいようにメッセージを表示しましたが、
ユーザにはネットサーフィン中に訪れたごく普通のサイトにしか見えず、攻撃を受けたことに絶対に気が付きません!!

ログイン操作をしていないのに、知らない人のアカウントに勝手にログインしています!(画像は私自身のDropboxです。フォルダ名は恥ずかしいので隠してあります。)

自分のアカウントでログインしているつもりでも、いつの間にかアカウントが切り替わっている可能性もあります!

自分がもともとログインしているかどうかに関わらず、悪意のあるサイトに『アクセスするだけ』で、悪い人のダミーアカウントにログイン、もしくはアカウントが切り替わってしまいます。

勝手にログインさせられるのは、悪い人が作ったダミーアカウント

ダミーアカウントですので、普通そのアカウントから犯人の情報は得られません。

【脅威】アカウントが切り替わっていることに気付かないと、非常に危険です。

他人のDropboxにファイルをアップロードしてしまう。

知らない人のアカウントでツイートしてしまう。

悪い人のFacebookアカウントで写真をシェアしてしまう。

悪い人のアカウントで重要なメールを送信してしまう。

などなど...。考えるだけで恐ろしいですね。

こういった動作を行う前にアカウントが切り替わっていることに気が付きそうなものですが、
自分のアカウントでログインしていると信じ込んでいるため、意外と気が付きにくいものです。

特に、普段からアドオンなどを使ってワンクリックで情報を発信したり保存したりしている人は要注意!!
アカウントの情報があまり表示されずに機能を使うことができるので、気が付きにくいです!!!

ソーシャルやクラウドサービスが普及するにつれて、情報をネットにアップロードする機会が増えていますが、アカウントをしっかり確認して情報を流出させないようにしましょう!

最後に最も重要なことを、冒頭で紹介したサイトから引用させていただき、述べておきます。

(結論) ログインのフォームもCSRF対策したほうがいいよ。

1





よろしくお願いします!