技術者ブログ

はじめに

広く報道されているように（参考記事）、CSRFによるウソの殺人予告によって、無実の大学生が逮捕される事件が発生してしまいました。

筆者は2006年に「開発者のための正しいCSRF対策」という記事をインターネット上で公開し、またメーリングリスト上での議論などでCSRF脆弱性への対策について啓蒙してきたつもりですが、実際にはインターネット上の多くのウェブアプリケーションは未だCSRF対策がなされておらず、今回問題が起こった横浜市のホームページも氷山の一角に過ぎないだろうと考えています。

CSRF対策がなかなか広まらなかった理由のひとつは、大きな、あるいは目立った被害がこれまであまり見られなかった事かと思います。mixiでのはまちちゃんによる「こんにちはこんにちは」事件などもありましたが、あくまでいたずらレベルに過ぎず、小規模なウェブサイトにおいてそれほど積極的に対策しようという雰囲気には繋がりませんでした。

しかし今回、あまりにもインパクトの強い事件が発生し、特にそれが自治体のホームページであったという点から、今後、「全てのウェブアプリケーションにCSRF対策を！」という流れが起こるのではないかと考えています。