押さえておきたい！Webセキュリティ入門：サイバー攻撃の種類と脅威について

SELECT * FROM users WHERE username = 'ユーザー入力' AND password = 'ユーザー入力';

' OR '1'='1

と入力すると、SQL文は以下のようになり、すべてのユーザー情報が返される恐れがあります。

SELECT * FROM users WHERE username = '' OR '1'='1' AND password = '…';

<script>alert('あなたのクッキー情報が盗まれます');</script>

・URLパラメータの例
ページがURLパラメータをそのまま表示する場合、攻撃者が仕込んだスクリプトが実行され、ユーザーの情報が漏洩するリスクもあります。

対策例
・出力時のコンテキストに応じたエスケープ
・コンテンツセキュリティポリシー（CSP）の導入
・入力の検証とサニタイズ

クロスサイトリクエストフォージェリ（CSRF）

クロスサイトリクエストフォージェリ（CSRF）は、ユーザーがログイン中の状態を悪用し、攻撃者が用意した不正なリクエストをユーザーの代わりに送信させる攻撃です。これにより、ユーザーの意思に反して口座からの不正送金、登録情報やパスワードの変更、さらには企業の機密情報の漏洩や不適切な投稿が行われる可能性があります。

具体例
・不正な書き込み
攻撃者が被害者のアカウントから不適切な投稿や犯罪予告を自動で行わせる、など。

・口座からの不正送金
オンラインバンキングにログイン中のユーザーが、攻撃者の仕込んだリンクをクリックすると、ユーザーの意思に反して指定された口座に送金が行われる可能性があります。

・登録情報やパスワードの変更
攻撃者が不正リクエストにより、ユーザーの登録情報やパスワードを勝手に変更するケースも考えられます。

・企業の機密情報の漏洩
管理者の権限を悪用したCSRF攻撃により、企業の機密情報が外部に送信されるリスクもあります。

対策例
・CSRFトークンの実装
・SameSite属性付きCookieの利用
・Refererヘッダーの検証

ディレクトリトラバーサル攻撃

ディレクトリトラバーサル攻撃は、本来アクセスが許可されていない非公開のファイルやディレクトリに不正にアクセスし、ファイルを閲覧したり書き換えたりする攻撃です。

具体例
・ファイルダウンロード機能の例
Webサイトがファイルダウンロードを提供しており、URLパラメータでファイル名を指定できる場合、サーバーの上位ディレクトリにある機密ファイル（システムのパスワード情報や設定ファイル）が閲覧されるリスクがあります。

・管理者用ファイルの流出
企業の内部システムで、ユーザー入力でファイルパスを指定できる場合、攻撃者がシステムの管理者用マニュアルや設計図など、公開してはいけない情報にアクセスする可能性があります。

対策例
・入力の正規化とホワイトリスト化
・ファイルアクセスの制御
・WAFの導入

セッションハイジャック

セッションハイジャックは、攻撃者がユーザーのセッションIDを盗み取り、そのセッションIDを利用して本人になりすます攻撃です。

具体例
・ネットワークスニッフィングの例
ユーザーがHTTPなど暗号化されていない通信を利用している場合、攻撃者が通信を傍受し、セッションIDを盗む可能性があります。盗んだセッションIDを用いて、攻撃者はユーザーとしてログインし、個人情報の閲覧や不正な取引が実行されるリスクがあります。

・XSSと併用した例
XSS攻撃を通じてユーザーのクッキー情報を取得し、その中に含まれるセッションIDを利用して、攻撃者が被害者のアカウントに不正アクセスを行うケースも報告されています。

対策例
・通信の暗号化（HTTPSの徹底）
・セキュアなCookie設定（Secure, HttpOnly, SameSite属性）
・セッションの定期的な再生成

まとめ
脅威を理解し、定期的なセキュリティ診断や最新情報のアップデートを行うことで、Webアプリケーションの安全性は大きく向上します。常に最新のセキュリティ情報をチェックし、日々の開発工程で基本原則を守ることが、安全なWebサービスの運用への第一歩となります。