クロスサイトリクエストフォージェリに関する問題のトラブルシューティング
クロスサイトリクエストフォージェリ (CSRF) では、さまざまな理由でエラーが発生します。
1. クライアントまたはネットワークインフラストラクチャの問題により、ユーザーリクエストの検証メカニズムが壊れている。
2. ソフトウェアの問題により、誤検知レポートが生成される。
3. 合法的 CSRF 攻撃である。
CSRF 攻撃のアラートを受け取った場合、次の手順を実行してください。
1. Windchill の使用中のバージョンの最新のメンテナンスリリースに更新し、最新のソフトウェア修正を取得します。
2. 現在の Windchill メンテナンスリリースに最新のセキュリティ更新パッチを適用し、最新のセキュリティ修正を取得します。
3. ユーザーが Windchill にアクセスするために Internet Explorer 8 を互換モードで使用していないことを確認します。このモードでは、Internet Explorer によって CSRF の nonce を含まない切り捨てられたリクエストが送信されます。Windchill 10.0 以降では、互換モードはサポートされていません。
4. 現象やセキュリティログから、これがシステムへの合法的 CSRF 攻撃かどうかを判断します。
a. 問題がユーザーによって報告された場合、そのユーザーと協力して、エラーが発生した状況や実行しようとした操作を確認します。正当な Windchill ページで正当な操作を実行しているときにエラーが発生した場合、Windchill で修正が必要な誤検知である可能性があります。
攻撃の兆候と考えられるのは、次のような場合です。
▪ Windchill とは関係のない別の Web ページやアプリケーションに移動したりリンクをクリックしたりしたときにエラーが発生した。
▪ 送信元が Windchill であることが確認できない電子メールのリンクをクリックしたときにエラーが発生した。
▪ ユーザーがまだ認証されていない場合、Windchill での予期しない認証リクエストによってエラーが発生した。
▪ Windchill のユーザーインタフェースが通常とは異なる。
▪ Windchill の URL またはホスト名が正しくない。
b. セキュリティ監査レポートに警告がある場合、ユーザー、セッション識別子、IP アドレス、日付、時刻、警告を発生させたリクエストに関する情報をレポートで確認します。レポートに記載されているユーザーに連絡し、エラー発生時に何をしていたかを突き止めます。ステップ A のプロセスを使用して、攻撃かどうかを判断します。
c. 管理者が電子メールで警告を受け取った場合、セキュリティ監査レポートを実行して、警告を発生させたユーザーに関する情報を取得します。レポートに記載されているユーザーに連絡し、エラー発生時に何をしていたかを突き止めます。ステップ A のプロセスを使用して、攻撃かどうかを判断します。
d. ログファイルで警告が見つかった場合、セキュリティ監査レポートを実行して、警告を発生させたユーザーに関する情報を取得します。レポートに記載されているユーザーに連絡し、エラー発生時に何をしていたかを突き止めます。ステップ A のプロセスを使用して、攻撃かどうかを判断します。
5. 誤検知を見つけた場合、または不明点がある場合は、PTC テクニカルサポートに問い合わせてください。
a. <Windchill>\codebase\WEB-INF\log4jMethodServer.properties ファイルに次の行を追加し、追加のデバッグ情報を有効にします。
log4j.logger.com.ptc.core.appsec=ALL
org.apache.tomcat.util.http.Parameters=TRACE
b. 問題を再現します。
c. PTC テクニカルサポートへのお問い合わせに、ログファイル情報を含めます。詳細については、
システム設定コレクターを参照してください。
6. ユーザーが合法的 CSRF 攻撃の標的となっていると思われる場合、内部 IT セキュリティチームと協力して対応します。