ディレクトリトラバーサル攻撃―意味から対策まで解説

トップ 情報処理の知識体系 テクノロジ系 技術要素 セキュリティ 情報セキュリティとは 攻撃手法 サイバー攻撃の種類 ディレクトリトラバーサル攻撃

ディレクトリトラバーサル攻撃とは、ディレクトリのファイルを指定するサイバー攻撃の種類の1つです。ディレクトリトラバーサル攻撃に関する言葉の意味から対策方法まで解説しています。

▲記事トップへ

目次

1. ディレクトリトラバーサル攻撃とは

2. ディレクトリトラバーサル攻撃に関連する言葉の意味

3. ディレクトリトラバーサル攻撃に利用される脆弱性

4. ディレクトリトラバーサル攻撃の対策方法

ディレクトリトラバーサル攻撃に関連したIPA情報処理試験の過去問題

もっと知識を広げるための参考

更新履歴

1. ディレクトリトラバーサル攻撃とは

ディレクトリトラバーサル攻撃とは、相対パス記法などサーバ内の想定外のファイル名を直接してすることによって、管理者や利用者の想定しているのとは別のディレクトリのファイルを指定するサイバー攻撃の種類の1つです。 入力文字列からアクセスするファイル名を組み立てるアプリケーションに対して、攻撃者が、上位のディレクトリを意味する文字列を入力して、非公開のファイルにアクセスする攻撃です。

主な目的

攻撃の主な目的は以下になります。

• 機密情報の取得

イメージ

以下はディレクトリトラバーサル攻撃のイメージです。

2. ディレクトリトラバーサル攻撃に関連する言葉の意味

ディレクトリトラバーサル攻撃に関連する言葉の意味を補足していきます。

ディレクトリトラバーサルの意味

ディレクトリトラバーサルは英語でdirectory traversalと書きます。

ディレクトリの意味

ディレクトリは、コンピュータのファイルをグループ化するためのファイルのことをいいます。 Windowsではフォルダといいます。

トラバーサルの意味

トラバーサルは、「横切る」「横断する」といった意味の英語です。 コンピュータの用語としては、系統や構造を乗り越えてアクセスすることなど表現する際に使用します。

パスの意味

パスはコンピュータのファイルやディレクトリの位置を示す文字列のことを意味する英語です。 英語でPathと書きます。パスの記述方法には相対パスと絶対パスに記述方法があります。

絶対パスの意味

絶対パスは最上位の位置を「/」として最上部の「/」全て記述するパスの記述方法のことをいいます。

相対パスの意味

相対パスはあるファイルやディレクトリの現在の位置を「/」基準に記述するパスの記述方法のことをいいます。 「./」は現在のディレクトリ、「../」は一つ上のディレクトリを組み合わせて記述します。

3. ディレクトリトラバーサル攻撃に利用される脆弱性

ディレクトリトラバーサルの脆弱性とは、ディレクトリトラバーサル攻撃を許してしまう欠陥のことをいいます。 ウェブアプリケーションの中には、外部からのパラメータにウェブサーバ内のファイル名を直接指定しているものがあります。 ファイル名指定の実装に問題がある場合、攻撃者に任意のファイルを指定され、ウェブアプリケーションが意図しない処理を行ってしまう可能性があります。 これを悪用した攻撃手法がディレクトリトラバーサル攻撃です。

たとえば、カレントディレクトリが「/var/www/html/contents/」であることを前提として、ユーザが入力したファイル名を受け取り、当該ディレクトリ内のファイルを開くWebアプリケーションがあるとします。 「../../../../etc/passwd」のようなファイル名を指定することにより、「/etc/passwd」ファイルが開かれファイルの内容を出力してしまう可能性があります。

このように入力文字列からアクセスするファイル名を組み立てるアプリケーションに対して、攻撃者が、上位のディレクトリを意味する文字列を入力するなどします。 そして、サーバ内の想定外のファイル名を直接してすることによって、本来許されない非公開のファイルにアクセスします。

4. ディレクトリトラバーサル攻撃の対策方法

ディレクトリトラバーサル攻撃の対策としては以下のような対策があります。

• ディレクトリのパスはそれを取り出す関数を用意して、入力内容からはパス部分は取り除いたファイル名だけ使用する
• 「/」や「..\」、「../」、「..%2F」などの文字が含まれないかチェックする
• サーバ内のアクセス権の設定を正しく設定する

ディレクトリトラバーサル攻撃に関連したIPA情報処理試験の過去問題

以下ではディレクトリトラバーサル攻撃に関連したIPA情報処理試験の過去問とその解説をまとめています。

• 平成30年春 問38 ディレクトリトラバーサル攻撃―応用情報技術者 午前
• 平成21年度春 問42 ディレクトリトラバーサル攻撃―応用情報技術者 午前
• 平成27年春 問15 ディレクトリトラバーサル攻撃―情報処理試験（高度共通）

もっと知識を広げるための参考

• 攻撃手法

  情報システムへの外部からの不正な行為や手法など、サイバー攻撃の種類と対策方法についてまとめています。

• 情報セキュリティ

  情報セキュリティとは何か、情報セキュリティのテキストコンテンツをテーマに知識をまとめています。またIPAの情報処理試験の情報セキュリティ関連の問題も解説しています。

• テクノロジ系

  情報処理試験対策用のサイトオリジナル教科書をテーマにテクノロジ系の知識をまとめています。

更新履歴

• 2019/9/7 ディレクトリトラバーサル攻撃のイメージを追加しました。
• 2017/12/27 ページをUPしました。

戻る