« ウィルスバスターとXP_SP2 | トップページ | Windows修正パッチで新たな不具合が( >_ < ;) »

2005/04/29

不正アクセスにご用心

数日前のことだが@ITにCSRFという攻撃方法についての記事が掲載された。
http://www.atmarkit.co.jp/fsecurity/column/ueno/33.html
これを利用すると自分がアクセス権を持たないblogに記事を書き込めたり、
Webサービスの内容を勝手に変更するなどの不正アクセスが可能だという。

詳細はリンク先を参照してもらうとして、
要約するとこれはCookieを悪用した攻撃手法である。
ユーザー認証を行うサイトにはCookieを利用して
アカウント名とパスワードを記憶しておくものがある。
そして、サイトを再訪問したときはCookieの情報を使って
自動的にログインできるようにしているのだが、これを悪用するようだ。

Cookieを完全に使わないというのは難しいが
・Cookieを利用するサイトを制限する
・ログイン/ログアウトをこまめに行う
・Cookieを適時削除する
・出所の怪しいメールに書かれたリンク先は開かない
など、ユーザーサイドで取れる対策もいくつかある。

Cookieの削除に関してはブラウザの機能を使えばそれほど面倒ではないだろう。
わたしが使っているLunascape2にはクッキーを削除する機能が付いている。

del_cookie

友人に聞いたところFireFoxにもあるとのこと。
そういった機能を有効に使いたい。

ユーザー認証画面でアカウント名とパスワードを入力する欄の近くに
「アカウントとパスワードを記憶する」と書かれた
チェックボックスがあるのをよく見かける。
これもCookieが使われていることがあるので
安易にチェックを入れないほうがいいのかもしれない。

Cookieは便利なものではあるが悪用されるとCSRFのように不正アクセスの手口にされたり情報の漏洩に繋がってしまう。およそほとんどの技術について言えると思うのだが、特にIT分野においては技術は光と闇の両面を持つ。しかし闇の面、デメリットについては個人企業に関係なくユーザが気を配ることで抑えることも少なからず可能なのではないだろうか?自分を守るためなのだ。多少面倒であってもできる対策はやっていこうではないか。

|

« ウィルスバスターとXP_SP2 | トップページ | Windows修正パッチで新たな不具合が( >_ < ;) »

コメント

コメントを書く



(ウェブ上には掲載しません)


コメントは記事投稿者が公開するまで表示されません。



トラックバック

この記事のトラックバックURL:
http://app.cocolog-nifty.com/t/trackback/103108/3912962

この記事へのトラックバック一覧です: 不正アクセスにご用心:

« ウィルスバスターとXP_SP2 | トップページ | Windows修正パッチで新たな不具合が( >_ < ;) »