遠隔操作ウイルス事件の報道は減ってきたが、犯人は捕まっておらず安心はできない。なりすましで犯罪予告や脅迫を行うには、必ずしもウイルスを使う必要はない。電子掲示板などのサービスを提供するサイトでは、クロス・サイト・リクエスト・フォージェリー(CSRF)という不正サイトを使ったなりすましへの対策も必要になる。
遠隔操作ウイルス事件の犯人は、なりすます相手の端末を悪用して、電子掲示板や問い合わせフォームに犯罪予告や脅迫メッセージを書き込ませる際、主にウイルスを利用していた。そのため、ウイルスに感染しなければ、なりすましの攻撃には無縁だと考えている人がいるかもしれない。
しかし、他人になりすまして犯罪予告や脅迫を行う場合、必ずしもウイルスを利用する必要はない。特に警戒したいのは、CSRFである。遠隔操作ウイルス事件でも横浜市のサイトへの書き込みには、ウイルスではなくCSRFが利用されたといわれる。
CSRFは、細工したWebページを用意し、そのWebページにアクセスさせることで、端末に不正な処理を実行させる手口である。細工したWebページのURLを一般の電子掲示板に記載したり、電子メールに記載して送りつけたりすることで、端末利用者を誘導する(図)。
図●クロス・サイト・リクエスト・フォージェリーの仕組み
[画像のクリックで拡大表示]
例えば、犯罪予告や脅迫メッセージを電子掲示板などに書き込む処理をスクリプトで記述したWebページを作ってアクセスさせれば、端末利用者本人の意思と関係なく、電子掲示板などに指定したメッセージを書き込ませることができる。
