遠隔操作ウイルス事件の報道は減ってきたが、犯人は捕まっておらず安心はできない。なりすましで犯罪予告や脅迫を行うには、必ずしもウイルスを使う必要はない。電子掲示板などのサービスを提供するサイトでは、クロス・サイト・リクエスト・フォージェリー(CSRF)という不正サイトを使ったなりすましへの対策も必要になる。

 遠隔操作ウイルス事件の犯人は、なりすます相手の端末を悪用して、電子掲示板や問い合わせフォームに犯罪予告や脅迫メッセージを書き込ませる際、主にウイルスを利用していた。そのため、ウイルスに感染しなければ、なりすましの攻撃には無縁だと考えている人がいるかもしれない。

 しかし、他人になりすまして犯罪予告や脅迫を行う場合、必ずしもウイルスを利用する必要はない。特に警戒したいのは、CSRFである。遠隔操作ウイルス事件でも横浜市のサイトへの書き込みには、ウイルスではなくCSRFが利用されたといわれる。

 CSRFは、細工したWebページを用意し、そのWebページにアクセスさせることで、端末に不正な処理を実行させる手口である。細工したWebページのURLを一般の電子掲示板に記載したり、電子メールに記載して送りつけたりすることで、端末利用者を誘導する()。

図●クロス・サイト・リクエスト・フォージェリーの仕組み
[画像のクリックで拡大表示]

 例えば、犯罪予告や脅迫メッセージを電子掲示板などに書き込む処理をスクリプトで記述したWebページを作ってアクセスさせれば、端末利用者本人の意思と関係なく、電子掲示板などに指定したメッセージを書き込ませることができる。

この先は会員の登録が必要です。有料会員(月額プラン)は初月無料!

日経 xTECHには有料記事(有料会員向けまたは定期購読者向け)、無料記事(登録会員向け)、フリー記事(誰でも閲覧可能)があります。有料記事でも、登録会員向け配信期間は登録会員への登録が必要な場合があります。有料会員と登録会員に関するFAQはこちら