www.youtube.com サクラ先輩とモモちゃんと一緒に、令和7年秋期のセキュリティ試験問題「CSRFの罠」を徹底解説します。試験対策としての正解選択肢の解説はもちろん、2026年の現場で求められる最新のセキュリティ常識についても学べる特別講義です。教科書通りの知識だけで止まっていませんか？試験勉強と実務の両方に役立つ、新旧のセキュリティ技術の対比をお届けします。 今回の動画で学習する中心的なキーワードはクロスサイトリクエストフォージェリ（CSRF）です。これは利用者がログインしているブラウザの信頼を悪用し、攻撃者が裏で勝手に購入や退会などのリクエスト（操作）を送信させる攻撃手法を指します。試験問題の解説では、この対策として有効なトークンの埋め込みやReferer確認、パスワード再入力といった伝統的な手法を紹介しつつ、間違いの選択肢であるサニタイジング（エスケープ処理）がなぜCSRF対策にならないのかを解説しています。サニタイジングは悪意あるスクリプトの実行を防ぐクロスサイトスクリプティング（XSS）への対策であり、攻撃のタイプと防御策を正しく区別することが試験突破の鍵となります。さらに動画の後半では、2026年の現在における最新の防衛手段についても深掘りしています。ここで重要になるのがSameSite属性というブラウザの標準機能です。これはCookieが外部サイトへ送信されるのを制限する属性で、開発者が複雑なコードを書かなくてもブラウザが自動的に不正なリクエストを遮断してくれる現代の盾といえます。同様にFetch Metadata（Sec-Fetch-Siteヘッダ）も、通信の発生元を確認してたった一行の設定で攻撃を拒否できる強力な仕組みとして紹介されています。また、認証技術の進化としてパスキー（Passkeys/FIDO2）の概念も外せません。これは従来の盗まれるリスクがあるトークンやパスワードとは異なり、指紋や顔といったその場にいる本人しか持ち得ない物理的な要素で認証を行うため、攻撃者が遠隔で操作を完結させることを不可能にします。最後に触れられているUEBA（ユーザとエンティティの行動分析）は、AIが普段と異なる場所やデバイスからのアクセスを検知して再認証を求めるもので、ゼロトラスト時代の新たな常識です。これらの知識を組み合わせることで、基礎的な試験対策と未来を見据えたエンジニアとしてのスキルアップの両方を目指しましょう。