分野：テクノロジ系
中分類：セキュリティ
小分類：セキュリティ実装技術

攻撃者によってログイン中のセッションが乗っ取られても、URLやCookieに格納されているセッションIDが正規のものであれば、判別する仕組みを持たないWebアプリケーションには、「攻撃者によって乗っ取られたリクエスト」なのか「正規ユーザーによるリクエスト」なのかの区別がつきません。このようなWebアプリケーションのセッション管理の脆弱性を悪用して、攻撃者が正規ユーザーの意に反した処理を行わせる攻撃を、CSRF(クロスサイト・リクエスト・フォージェリ)といいます。
特に「ログイン後に決済処理等の重要な処理を行うサイト」などでは、攻撃による被害が大きくなるため、セッション管理の堅牢性を高める必要があります。それに加えてセッションが乗っ取られた場合の不正処理を防ぐために、送金や購入確定、パスワード変更、退会処理などの重要なリクエストをサーバに送信する前には、その利用者が意図したリクエストであるかどうかを識別する仕組みを設ける必要があります。

重要処理の前にパスワード認証を挟むことで、セッションの相手が正規ユーザーであることを確認できるため正しい処理のみを実行することができます。したがって適切な対策は「エ」です。