Netcraftは9月30日(米国時間)、GoogleがGmailに存在していたクロスサイトリクエスト偽装(CSRF: Cross-site Request Forgery)に関する脆弱性問題を修正したことを発表した。これまでのGmailにはログインした状態のユーザに対して、メールフィルタを追加してメールを特定のアカウントへ転送することが可能な脆弱性があるとされていた。
今回修正されたCSRFだが、特別な脆弱性ではなくWebアプリケーションに存在する脆弱性として以前から存在する代表的なもののひとつ。特に最近Webアプリケーションを攻撃する場合によく使われる方法となっている。Webアプリケーションの普及にともない、CSRFを使った問題が今後ますます増えると思われる。
Gmailは代表的なWebアプリケーションだ。今回GMailにおいてCSRFの修正が実施されたことは啓蒙の点でも注目に値する。CSRFといっても影響はさまざまであるため、やみくもに対処すればいいといものでもない。WebアプリケーションのデベロッパはCSRFに注目するとともに、ユーザもWebアプリケーションにCSRFという脆弱性があるかもしれないことを認識するいい機会だといえそうだ。
