掲示板などに投稿された身に覚えのない犯罪予告で誤認逮捕が相次いだ事件で、パソコンを遠隔操作するウイルスが話題となった。このウイルスとは別に、クリックした瞬間に別のサイトに投稿してしまう仕掛けも使われた。CSRFと呼ばれ、国内でも何年も前からしばしば問題が生じ、対策が講じられてきた。
この事件では、4人の男性が逮捕され、起訴や処分にまで発展してしまった。これまでに東京、大阪、福岡、三重、愛知の計5人が真犯人の仕掛けた罠にはまり、計13件の予告投稿が行われたことが判明している。うち4人が踏んでしまった罠は、パソコンを乗っ取って遠隔操作するためにウイルスをインストールさせようとするものだったが、都内の大学生が踏んでしまった罠は、クリックした瞬間に別のサイトに投稿してしまう仕掛けだったという。
■短縮URLをクリックした直後に犯罪予告投稿が完了、誤認逮捕へ
リンクをクリックすると、通常はそのサイトや別のサイトのページを開いたり、ドキュメントやプログラムなどのファイルのダウンロードが始まる。掲示板への投稿やショッピングサイトでの買い物のように、パソコン側からデータを送ってサイトを操作する際には、リンクではなく送信ボタンを押すのが普通だが、この操作もリンクのクリックで行えるようにでき、ページを開いだだけで自動的に処理させることも可能だ。
都内の大学生は6月29日、掲示板に「小ネタですが...」の添え書きとともに書き込まれていた短縮URLをクリックした。リンクの先には、横浜市のホームページにある「市民の声」に犯罪予告を投稿する罠が仕掛けられており、クリックした直後に投稿が完了した。7月1日に神奈川県警保土ケ谷署に逮捕され、8月15日に保護観察処分となった(誤認逮捕であることが確認され、処分は間もなく取り消される予定)。今回の予告投稿の場合には、サイトのアクセス記録やブラウザの履歴から、短時間でいきなり投稿された不自然なものであることが識別できるはずなのだが、それでも犯人に仕立て上げられてしまった。
■不正投稿が可能になる「CSRF」~会員制サイトでも注意が必要
別のサイトから操作できてしまうこのような問題は、クロスサイト・リクエスト・フォージェリ(CSRF:Cross Site Request Forgeries)と呼ばれている。国内でも何年も前からしばしば問題が生じており、操作を受け付けてしまったサイト側が、その都度いろいろな対策を講じてきた。市のホームページには、こうした不正な投稿を排除する仕組みが設けられておらず、市は先週、投稿ページの改修を行った。
市の投稿ページは誰でも投稿できるものだが、ログインが必要な会員制のサイトなども、条件次第ではCSRFを悪用して勝手に操作されてしまうことがある。本来ならばユーザーが操作すべきパスワード入力などが自動化されていて、ブラウザでアクセスすると勝手にログインしてしまうケースや、ログアウトせずログインしたままの状態で他のサイトを閲覧しているようなケースだ。こういった使い方をしている方は、そのサイトにCSRFの問題があると、会員制かどうかに関係なく被害を受けてしまうことがあるので、注意していただきたい。
(2012/10/22 ネットセキュリティニュース)
【関連URL】
・CSRF (クロスサイト・リクエスト・フォージェリ)(IPA)
http://www.ipa.go.jp/security/vuln/vuln_contents/csrf.html