FE SUBJECT A
基本情報技術者 科目Aの問題解説
問題
CSRFの説明として適切なものはどれか。
- ア 利用者が意図しないリクエストを攻撃者が偽造し、Webアプリに送信させる攻撃
- イ Webサイトの入力フォームにスクリプトを埋め込む攻撃
- ウ サーバの管理者権限を奪取する攻撃
- エ 通信を盗聴して認証情報を取得する攻撃
出典:オリジナル問題|参考範囲:試験要綱Ver.5.5 / FEシラバスVer.9.2 科目A範囲
正解と解説
正解:利用者が意図しないリクエストを攻撃者が偽造し、Webアプリに送信させる攻撃
正解はア。CSRF(Cross-Site Request Forgery)は、利用者がログイン済みの正規サイトに対して、攻撃者が用意した別サイトなどから利用者の意図しないリクエストを送信させる攻撃である。利用者本人の認証情報がブラウザに残っているため、正規の操作のように処理されてしまう点が危険である。
例えば、ログイン済みのネットサービスに対して、攻撃ページを開いただけで設定変更や送金リクエストが送られるようなケースが該当する。対策はCSRFトークンの検証、SameSite Cookie、重要操作時の再認証などである。
イはXSS、エは盗聴による認証情報窃取に近い説明であり、CSRFとは攻撃の仕組みが異なる。
この問題について
IPAが公開するシラバス・試験範囲・公開問題の出題形式を参考にした独自作成問題。公式問題・過去問題の転載ではありません。
公式試験問題、過去問題、公式サンプル問題、市販教材の問題文を転載したものではありません。