PHP の CSRF 対策（セッション・トークンを活用）

1. CSRFとは？

1. CSRFとは？

CSRF（Cross-Site Request Forgery）とは、ユーザーが意図しない操作を、ログイン中の状態を利用してウェブサイトに実行させる攻撃のことです。見た目は普通の操作に見えても、裏では別のリクエストが送られているのが厄介な点です。

ポイントは「ユーザー本人が送ったように見えるリクエスト」を作れてしまうことです。たとえば、会員情報の変更、パスワード変更、送金、退会など、ボタン1つで実行できる処理が狙われやすくなります。

具体的には、攻撃者が悪意を持って、ユーザーがログインしているウェブサイトに対して、第三者のページやメールなどを経由してリクエストを送信させます。例えば、ユーザーが銀行にログインしているときに、攻撃者がユーザーの名前で不正に送金させるようなことが起こります。

初心者向け：CSRFが起きるイメージ（例）

たとえば「メールアドレスを変更するフォーム」があり、ログインしていれば送信できるとします。攻撃者は別サイトに“こっそり送信されるフォーム”を置いて、ユーザーがそのページを開いただけで送信が走るようにすることがあります。

<!-- 攻撃者のページに置かれるイメージ（例） -->
<form action="https://example.com/change_email.php" method="POST">
    <input type="hidden" name="email" value="attacker@example.com">
    <input type="submit" value="クリック">
</form>

この例では、ユーザーがexample.comにログイン中だと「本人が変更した」ように見えるリクエストが送られてしまう可能性があります。だからこそ、サーバー側で「正当な画面から送られた操作か？」を確認する仕組みが必要になります。

2. CSRF攻撃がどのように行われるか

2. CSRF攻撃がどのように行われるか

CSRF攻撃は、ユーザーが「何か操作しているつもりはない」のに、知らないうちにリクエストが送信されてしまう点が特徴です。特に、ログイン状態が維持されていることが悪用されます。

Webサイトは一度ログインすると、しばらくの間は自動的に認証された状態になります。そのため、ユーザー本人でなくても、条件がそろえば操作が成立してしまいます。

よくあるCSRF攻撃のパターン

• 悪意のあるリンクをクリックさせる：メールやSNSに仕込まれたリンクをクリックしただけで、裏側でリクエストが送信されることがあります。
• 別サイトに置かれたフォームを自動送信させる：ユーザーがページを開いた瞬間に、見えないフォームが送信されるケースもあります。

初心者向け：リンクを使った攻撃のイメージ

たとえば、次のようなURLがメールで送られてきたとします。一見すると普通のリンクですが、クリックすると処理が実行されてしまうことがあります。

<a href="https://example.com/delete_account.php">お知らせはこちら</a>

もしユーザーがexample.comにログイン中で、アクセスするだけで処理が実行される仕組みだった場合、「本人が退会操作をした」ように見えてしまいます。

このように、CSRF攻撃はユーザーの操作ミスではなく、仕組みの弱点を突いて行われます。そのため、サーバー側で「本当に正しい画面から送られたか」を確認する対策が必要になります。

3. CSRF対策のためのセッション・トークンとは？

3. CSRF対策のためのセッション・トークンとは？

CSRF攻撃を防ぐためによく使われるのが「セッション・トークン」という仕組みです。これは、その画面を表示した本人だけが持っている合言葉のようなものだと考えると分かりやすいでしょう。

セッション・トークンは、サーバー側でランダムに生成され、ユーザーごとのセッションに保存されます。そして、その値をフォームの中に隠して一緒に送信します。

サーバーは「送られてきたトークン」と「セッションに保存してあるトークン」を照合し、両方が一致した場合のみ処理を続行します。一致しなければ、正規の画面からの操作ではないと判断できます。

初心者向け：セッション・トークンの役割イメージ

イメージとしては、「この画面を開いた人だけに渡す整理券」をフォーム送信時に確認するようなものです。整理券がなければ、受付（サーバー）は処理を受け付けません。

PHPでセッション・トークンを作る基本例

<?php
// セッションを開始（トークンを使う前に必須）
session_start();

// ランダムな文字列を生成してトークンとして保存
$_SESSION['csrf_token'] = bin2hex(random_bytes(32));
?>

このコードでは、PHPのrandom_bytes()を使って予測されにくいランダムな値を作り、それをセッションに保存しています。bin2hex()は、扱いやすい文字列に変換するためのものです。

このトークンをフォームに埋め込み、送信時にチェックすることで、「別サイトから勝手に送られたリクエスト」を見分けられるようになります。CSRF対策の基本として、まずはこの仕組みをしっかり押さえておきましょう。

4. PHPでCSRF対策を実装する方法

4. PHPでCSRF対策を実装する方法

次に、実際にPHPでCSRF対策を実装する方法を見ていきましょう。具体的には、フォーム内にセッション・トークンを埋め込む方法と、送信されたトークンを検証する方法です。

4.1 フォームにセッション・トークンを埋め込む

ユーザーがフォームを送信する際に、セッション・トークンを含める必要があります。次のコードでは、フォーム内にトークンを埋め込む方法を示します：

<?php
// フォーム内にセッション・トークンを埋め込む
echo '<form method="POST" action="submit.php">';
echo '<input type="hidden" name="csrf_token" value="' . $_SESSION['csrf_token'] . '">';
echo '<input type="submit" value="送信">';
echo '</form>';
?>

上記のコードでは、$_SESSION['csrf_token']に保存されているトークンを、フォーム内の隠しフィールドとして埋め込んでいます。これにより、フォーム送信時にトークンが送信されます。

4.2 送信されたトークンを検証する

次に、送信されたリクエストが正当なものかどうかをサーバー側で検証する方法です。送信されたトークンをセッションのトークンと比較し、一致する場合にのみリクエストを受け入れます。

<?php
// フォーム送信時に送られてきたトークンを検証
if ($_SERVER['REQUEST_METHOD'] === 'POST') {
    // セッションのトークンと送信されたトークンを比較
    if (isset($_POST['csrf_token']) && $_POST['csrf_token'] === $_SESSION['csrf_token']) {
        echo '正当なリクエストです。';
    } else {
        echo 'CSRF攻撃の可能性があります！';
    }
}
?>

このコードでは、フォーム送信時に送られたcsrf_tokenと、セッションに保存されているトークンを比較しています。一致すればリクエストは正当と認証され、一致しなければCSRF攻撃の可能性があるとしてリクエストを拒否します。

これで、PHPを使用した基本的なCSRF対策が実装できます。セッション・トークンを活用することで、不正なリクエストを防ぎ、セキュリティを高めることができます。

5. CSRF対策のセッション・トークンを使うメリットとデメリット

5. CSRF対策のセッション・トークンを使うメリットとデメリット

CSRF対策としてセッション・トークンを使用する方法には、いくつかのメリットとデメリットがあります。以下では、それぞれについて説明します。

メリット

• セキュリティ向上：セッション・トークンは、リクエストが正当なものであることを確認するため、悪意のあるリクエストを防ぐ効果的な方法です。
• 簡単な実装：PHPで簡単に実装できるため、複雑な設定なしでCSRF攻撃を防げます。
• ユーザーを守る：攻撃者がセッションIDを盗むことができても、セッション・トークンがなければリクエストを不正として拒否できるため、ユーザーのセッション情報を守ることができます。

デメリット

• セッション管理の複雑化：セッション・トークンを管理するため、サーバー側での管理が若干増えるため、実装に少し手間がかかることがあります。
• フォームの複雑さ：各フォームにトークンを埋め込む必要があり、大規模なアプリケーションでは全てのフォームにこの処理を追加する手間がかかることがあります。

それでも、セッション・トークンを使用したCSRF対策は、そのセキュリティの効果から、ウェブアプリケーションのセキュリティ強化には欠かせない技術となります。

6. 実際のプロジェクトでの活用方法（フォーム送信など）

6. 実際のプロジェクトでの活用方法（フォーム送信など）

実際のプロジェクトで、CSRF対策を適用する方法を見ていきましょう。ここでは、フォーム送信時にセッション・トークンを活用する例を紹介します。

6.1 フォーム送信時のCSRF対策

ユーザーがフォームを送信する場合、そのリクエストが正当かどうかを確認するために、フォームにセッション・トークンを埋め込む必要があります。例えば、次のようにフォームにCSRFトークンを埋め込むことで、リクエストが正当であることを検証できます：

<?php
// フォームにCSRFトークンを埋め込む
echo '<form method="POST" action="submit.php">';
echo '<input type="hidden" name="csrf_token" value="' . $_SESSION['csrf_token'] . '">';
echo '<input type="submit" value="送信">';
echo '</form>';
?>

フォームに埋め込まれたcsrf_tokenを送信することで、サーバー側でトークンの一致を確認し、不正なリクエストを防ぎます。

6.2 トークンの検証

フォームから送信されたトークンを、サーバー側で検証する処理を実装します。送信されたトークンがセッションに保存されているトークンと一致するかを確認します：

<?php
// フォーム送信時に送られてきたトークンを検証
if ($_SERVER['REQUEST_METHOD'] === 'POST') {
    // セッションのトークンと送信されたトークンを比較
    if (isset($_POST['csrf_token']) && $_POST['csrf_token'] === $_SESSION['csrf_token']) {
        echo 'リクエストが正当です。';
        // 正当なリクエストに対する処理
    } else {
        echo '不正なリクエストです。';
        // CSRF攻撃としてリクエストを拒否
    }
}
?>

このコードでは、送信されたトークンがセッションに保存されたトークンと一致するかを確認しています。もし一致しない場合、そのリクエストは不正として拒否されます。

6.3 ログイン機能への適用

実際のプロジェクトでのログイン機能でもCSRF対策は重要です。ユーザーがログインフォームを送信する際に、セッション・トークンを使って正当性を確認します。これにより、攻撃者による不正なログインを防ぐことができます。

<?php
// ログインフォームにCSRFトークンを追加
echo '<form method="POST" action="login.php">';
echo '<input type="hidden" name="csrf_token" value="' . $_SESSION['csrf_token'] . '">';
echo 'ユーザー名: <input type="text" name="username"><br>';
echo 'パスワード: <input type="password" name="password"><br>';
echo '<input type="submit" value="ログイン">';
echo '</form>';
?>

ログイン処理では、セッション・トークンを使用して、不正なログイン試行を防ぎます。フォーム送信時に送信されたトークンをサーバーで検証し、不正なリクエストが来た場合にはアクセスを拒否します。

7. 今後の学習方法

7. 今後の学習方法

ここまでで、PHPにおけるCSRF対策の基本として「セッション・トークンを使う方法」を理解できたと思います。フォーム送信の仕組みとあわせて考えることで、なぜこの対策が必要なのかもイメージしやすくなったはずです。

今後の学習では、まずセッションの仕組みそのものをもう一度整理してみましょう。セッションIDの役割や、ログイン状態がどのように維持されているかを理解すると、CSRF対策の意味がよりはっきりします。

次のステップとしては、トークンを「いつ作り、いつ無効にするのか」といった運用面を考えることも大切です。画面を更新したら新しいトークンを発行する、処理が終わったら使えなくするなど、実際の動きを想像しながら学ぶと理解が深まります。

また、CSRF以外にも、入力値チェックや認証まわりなど、Webアプリケーションにはさまざまなセキュリティ対策があります。今回学んだ内容を土台にしながら、1つずつ知識を積み重ねていくことで、安全なPHPアプリケーションを作れるようになるでしょう。

まとめ

まとめ

PHPでウェブアプリケーションを開発する上で、CSRF（クロスサイト・リクエスト・フォージェリ）攻撃の対策は欠かせない要素の一つです。この記事では、CSRF攻撃がどのように行われるのか、その脅威を理解した上で、セッション・トークンを用いた安全なリクエストの仕組みを学びました。

CSRF攻撃は、ユーザーが意図しない形で悪意ある操作を実行させられるリスクのある攻撃です。ユーザーがログイン中の状態で、不正なフォームやリンクを踏まされることで、意図しない送金や設定変更などが実行されてしまいます。こうした事態を防ぐには、サーバー側でリクエストの正当性を確認する仕組みが重要となります。

そのために活用されるのが、セッション・トークンです。このトークンは、bin2hex(random_bytes(32))などを使ってランダムに生成され、セッション変数$_SESSION['csrf_token']に保存されます。そして、フォームにはこのトークンを埋め込んで送信し、受信時にサーバーが照合することで、リクエストが本物かどうかを判断します。

たとえば次のように実装します：

<?php
session_start();

// トークン生成
if (empty($_SESSION['csrf_token'])) {
    $_SESSION['csrf_token'] = bin2hex(random_bytes(32));
}

// フォーム出力
echo '<form method="POST" action="submit.php">';
echo '<input type="hidden" name="csrf_token" value="' . $_SESSION['csrf_token'] . '">';
echo '<input type="submit" value="送信">';
echo '</form>';
?>

フォーム送信後には次のようにしてトークンを検証します：

<?php
session_start();

if ($_SERVER['REQUEST_METHOD'] === 'POST') {
    if (!empty($_POST['csrf_token']) && hash_equals($_SESSION['csrf_token'], $_POST['csrf_token'])) {
        echo 'リクエストが正当です。';
    } else {
        echo 'CSRF攻撃の可能性があります。';
    }
}
?>

hash_equals()を使うことで、タイミング攻撃を防ぎつつ、トークンの一致を安全に検証できます。セッション・トークンの管理は一見手間がかかるようにも思えますが、その手間に見合うセキュリティ効果があります。特にログインフォームやユーザー情報の更新など、重要な操作を伴う機能には積極的に取り入れるべきです。

今後の開発では、セッション・トークンの再生成や有効期限の設定など、より高度な対策も検討しながら、安全なWebアプリケーションの構築を心がけましょう。

この記事を読んだ人からの質問

この記事を読んだ人からの質問

プログラミング初心者からのよくある疑問／質問を解決します

PHPでCSRF攻撃とは具体的にどのような被害が発生しますか？

PHPでのCSRF攻撃では、ユーザーが意図しない送金処理や設定変更が実行されてしまう恐れがあり、セッションを悪用されることで重大なセキュリティ事故につながります。