クロスサイトリクエストフォージェリなど怖くない?刑務所行きの危険があっても?

文:Nathan McFeters(Special to ZDNet) 翻訳校正:石橋啓一郎

2008-03-26 19:23

 Robert Hansen氏(R-Snake氏としても知られている)は、米国時間3月20日、興味深い記事をブログに掲載している。R-Snake氏は次のように述べている。

 これについて話したことはあったが、今や本当に可能になった。CSRFは今では懲役の罪になり得る。FBIは児童ポルノだと考えられるリンクをクリックした人たちを逮捕し始めた。私はその崇高な目的は理解できるが、その古いロジックにはかなり大きな問題がある。私は、好きな時にユーザーにリンクをクリックさせることができる。そこで、一部の興味深いCSRF技術のグレーな領域が問題になる。司法当局は「リファラーが一致しない」というかも知れない。しかしそのためにMETA refreshがあるのだ。私はリファラーのURLをまったく残させずに、ユーザーに何かをクリックさせることができる。

 つまり、本当の質問はこうなる。リファラーURLのないユーザーを捜査する価値はあるだろうか?

 私はこの問題については、R-Snake氏に完全に賛成だ。私は児童ポルノを見ようとする輩を捕まえるのは大変結構なことだと思うが、われわれはみな、誰かにCSRFによってあるページを無理矢理見せられる可能性があり、そのために非常に重い罪で逮捕される可能性が生じるような世界を恐れるべきだと思う。新しい法律が技術と結びつけられるたびに、私はインターネットを使うことさえ恐ろしくなってくる。このように生まれた法律は、誤って犯罪に関わっているとされてしまうリスクを生んでしまうものであり、規制やPCIのような標準は非常に曖昧で、企業に「われわれはあなた達が言ったとおりにやったのだ」という言い訳を許し、ウェブアプリケーション自体を甚だしく安全でないままにさせておく危険がある。

 R-Snake氏が取り上げて指摘してくれたこの問題は、非常に重要だ。ある時点で、司法当局と政府はセキュリティの専門家と話を始める必要がある。彼らがこれほど法律に対してお粗末な判断をしているようでは、われわれの誰もが危ない。

この記事は海外CNET Networks発のニュースをシーネットネットワークスジャパン編集部が日本向けに編集したものです。海外CNET Networksの記事へ

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ホワイトペーパー

新着

ランキング

  1. ビジネスアプリケーション

    【マンガ解説】まだ間に合う、失敗しない「電子帳簿保存法」「インボイス制度」への対応方法

  2. ビジネスアプリケーション

    きちんと理解できていますか?いまさら聞けないインボイス制度の教科書

  3. 運用管理

    AWS、GCP、Azureを中心としたクラウドネイティブ環境における5つのセキュリティ強化策

  4. セキュリティ

    マンガでわかる―Webサイトからの情報搾取を狙うサイバー攻撃「SQLインジェクション」、どう防ぐ?

  5. セキュリティ

    緊急事態発生時にセキュリティを維持するための8つの戦略と危機管理計画チェックリスト

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]