ディレクトリトラバーサル攻撃とは?攻撃の仕組みと被害事例を紹介
「ディレクトリトラバーサル攻撃の仕組みとは?具体的な対策方法を知りたい」という疑問がある方もいるのではないでしょうか。
ディレクトリトラバーサル攻撃とは、アクセスを想定していないディレクトリに不正アクセスするサイバー攻撃のことです。
「相対パス」を悪用する攻撃手法であり、機密情報・個人情報の漏洩やファイル・データの改ざんなど、さまざまな被害リスクが伴うため注意が必要です。
本記事では、ディレクトリトラバーサル攻撃の仕組みや被害リスク、効果的な対策方法について解説します。
目次
[ 開く ]
[ 閉じる ]
- ディレクトリトラバーサル攻撃とは
- ディレクトリトラバーサルの仕組み|絶対パスと相対パス
- 絶対パス
- 相対パス
- ディレクトリトラバーサル攻撃による被害リスク
- ディレクトリトラバーサル攻撃の被害事例
- 大手電機メーカーが攻撃を受けて機密情報が外部に流出
- コンピュータソフトウェア著作権協会が攻撃により個人情報を漏洩
- 大手セキュリティベンダーの一部製品に脆弱性が発覚
- ディレクトリトラバーサル攻撃に効果的な対策方法
- パラメータのファイル名を指定できないようにする
- サーバー上に非公開情報を置かない
- ファイルへのアクセス権限の設定を強化する
- WAFを導入する
- セキュリティ対策ソフトを利用する
- サイバー攻撃の対策ならGMOサイバーセキュリティ byイエラエにお任せ
- まとめ
ディレクトリトラバーサル攻撃とは
ディレクトリトラバーサル攻撃とは、アクセスを想定していないディレクトリに不正アクセスするサイバー攻撃のことです。
ディレクトリは複数のファイルを保存する場所で、この攻撃手法は「パス・トラバーサル」とも呼ばれます。
ディレクトリトラバーサル攻撃という名称は、公開情報が格納されているディレクトリから、非公開情報が格納されているディレクトリに「横断する(トラバーサル)」ことに由来します。
この攻撃を受けた場合、企業の機密情報が漏洩したり、ファイルを改ざん・削除されたりなど、企業にとって深刻なリスクが伴うため、Webサイトやサービスの運営者は十分な対策を講じなければなりません。
ディレクトリトラバーサルの仕組み|絶対パスと相対パス
ディレクトリトラバーサル攻撃は、ディレクトリやファイルの場所を示す「パス(path)」を悪用する攻撃手法です。
パスには「絶対パス」と「相対パス」の2つがあり、攻撃を効果的に予防するためには、各パスを深く理解しておく必要があります。
絶対パス
絶対パスは、全てのパスを省略せずに記述する方法です。
サーバー内の任意位置を直接指し示す点が特徴です。例えば、以下のようなものが絶対パスに該当します。
- ▼「sample.com」内にある「news」フォルダの下層フォルダ「images」内の「logo.png」を指定する絶対パス
- https://www.sample.com/news/images/logo.png
このような絶対パスを活用し、指定のディレクトリに直接移動することを「絶対参照」と言います。
相対パス
相対パスは、現在の場所からの目的位置を相対的に記述する方法です。
ディレクトリトラバーサル攻撃では、この相対パスを悪用して攻撃を仕掛けます。
先ほど例にあげた絶対パスを、「https://www.sample.com/news/index.php」から参照した場合、以下のような相対パスとなります。
- ▼「https://www.sample.com/news/index.php」から参照した場合の相対パス
- ./images/logo.png
適切な管理が行われていないと、攻撃者が「../」を用いて意図しないディレクトリにアクセスし、重要なデータを不正に読み取られてしまいます。
「../」は、公開ファイルから1つ上のディレクトリにさかのぼる機能があります。
ディレクトリトラバーサル攻撃を防ぐためには、相対パスの使用に際して、厳格な検証処理を実施することが大切です。
ディレクトリトラバーサル攻撃による被害リスク
ディレクトリトラバーサル攻撃は、システム内の機密情報の漏洩に直結するリスクがあります。
攻撃者がシステムへ不正アクセスし、重要なデータに手を加えることで、データの改ざんや不正利用といったリスクも考えられます。
ディレクトリトラバーサル攻撃による具体的な被害リスクは以下の通りです。
▼ディレクトリトラバーサル攻撃の主な被害リスク
- 機密情報・個人情報の漏洩
- ファイル・データの改ざん
- システムへの不正アクセス
- アカウントの乗っ取り
これらの被害を受けると、Webサイトやサービスの信頼性を失い、ビジネスの存続が困難になるケースもあります。
データの改ざんや削除が行われた場合は、システムダウンやサービスの停止に追い込まれるリスクも考えられます。
ディレクトリトラバーサル攻撃の被害事例
ここでは、実際に発生したディレクトリトラバーサル攻撃の被害事例を3つ紹介します。
被害事例を確認することで、攻撃を受ける原因やリスクがわかり、対策方法をより理解しやすくなるはずです。
大手電機メーカーが攻撃を受けて機密情報が外部に流出
2020年1月、国内の大手電機メーカーがディレクトリトラバーサル攻撃を受け、機密情報の流出が疑われました。
不正アクセスにより、従業員や採用応募者などの個人情報と、企業の機密情報が外部に流出した可能性があると報告されました。
攻撃を受けた主な原因は、ウイルス対策システムに脆弱性があったことです。攻撃者はシステムの脆弱性を狙い、機密情報への不正アクセスを行いました。
コンピュータソフトウェア著作権協会が攻撃により個人情報を漏洩
2003年、コンピュータソフトウェア著作権協会(ACCS)のサイト内で使用していた「csvmail.cgi」に重大な脆弱性が発覚しました。
攻撃者はその脆弱性を悪用し、任意ファイルの内容を表示させたことで、結果として1,184人分の個人情報が漏洩しました。
不正アクセスによって個人情報が漏洩した後、攻撃を行った犯人は不正アクセス禁止法違反と威力業務妨害の疑いで逮捕されています。
大手セキュリティベンダーの一部製品に脆弱性が発覚
2019年、大手セキュリティベンダーの一部製品に、ディレクトリトラバーサルの脆弱性が存在することが発覚しました。
攻撃者はその脆弱性を悪用し、該当する製品サーバーに任意の圧縮ファイルをアップロードし、サーバー内にある特定ディレクトリでそのファイルを展開しました。
その結果、管理者権限で使用していたアカウントが不正利用され、その後に大手セキュリティベンダーは脆弱性の注意喚起を行っています。
ディレクトリトラバーサル攻撃に効果的な対策方法
ディレクトリトラバーサル攻撃を未然に防ぐためには、効果的な対策方法の実施が必要です。
本項では、ディレクトリトラバーサル攻撃に有効なセキュリティ対策を5つ紹介します。
- パラメータのファイル名を指定できないようにする
- サーバー上に非公開情報を置かない
- ファイルへのアクセス権限の設定を強化する
- WAFを導入する
- セキュリティ対策ソフトを利用する
これらのセキュリティ対策を適切に施すことで、不正アクセスを防止し、システムの安全性を確保できます。
【関連記事】企業が取り組むべきセキュリティ対策とは?重要性や対策内容を解説
パラメータのファイル名を指定できないようにする
ファイル名を外部から指定できないようにする対策が効果的です。
この対策により、攻撃者は不正な相対パスを挿入することができなくなるため、システム上の不正アクセスを根本から防げます。
また、相対パスを記述する際に必要となる「..」を無効化する対策も有効です。
サーバー上に非公開情報を置かない
Webサイトやサーバー上に、社内機密や個人情報などの非公開情報を置かないことも対策の1つです。
サーバー上に公開不要なファイルや情報を置かないことで、万が一ディレクトリトラバーサル攻撃を受けたとしても、機密情報の漏洩リスクを最小限に抑えられます。
不要な情報の露出を避けるためにも、定期的なファイルの整理と確認が推奨されます。
ファイルへのアクセス権限の設定を強化する
ファイルやディレクトリへのアクセス権限を厳格に管理することは、不正アクセスを防ぐための重要な対策です。
必要最小限のユーザーやグループにのみアクセス権を付与し、不必要なアクセスを排除しましょう。
この対策は、特に機密性の高い情報を扱うファイルに対して、セキュリティレベル向上の効果が見込めます。
WAFを導入する
WAFを導入することで、不正なリクエストを効果的に遮断し、アプリケーションレベルでのセキュリティを強化できます。
WAFは、Webアプリケーションの脆弱性を悪用した攻撃を予防するためのファイアウォールです。
ディレクトリトラバーサル攻撃を含む多くの脆弱性に対して高い効果があり、Webアプリケーションへの攻撃をリアルタイムで検出し対応することができます。
セキュリティ対策ソフトを利用する
セキュリティ対策ソフトを利用することにより、システム全体の脆弱性をスキャンし、潜在的なセキュリティリスクを早期に特定できます。
定期的なセキュリティチェックと監視は、システムの安全を維持するために非常に有効な手段です。
多くの対策ソフトでは、最新の脅威情報に基づいた対策を提供してくれるため、システムを未知の脅威から効果的に保護できます。
サイバー攻撃の対策ならGMOサイバーセキュリティ byイエラエにお任せ
画像引用元:GMOサイバーセキュリティ byイエラエ
ディレクトリトラバーサル攻撃を含むあらゆるサイバー攻撃の対策を図りたいなら、「GMOサイバーセキュリティ byイエラエ」へのご相談がおすすめです。
本サービスでは、最強のホワイトハッカー集団による技術力を用いて、あらゆるサイバー攻撃に対する対策サポートを提供しています。
脆弱性診断やペネトレーションテストはもちろんのこと、セキュリティインシデント対応支援やセキュリティコンサルティングも利用可能です。
セキュリティコンサルティングでは、セキュリティ課題に悩む担当者の方に並走し、さまざまな対策サポートをご提供いたします。
「より強固なセキュリティ環境を構築したい」という方は、本サービスの利用を検討してみてください。
まとめ
本記事では、ディレクトリトラバーサル攻撃の仕組みや被害リスク、効果的な対策方法について解説しました。
ディレクトリトラバーサル攻撃は相対パスを悪用した攻撃手法であり、機密情報・個人情報の漏洩やファイル・データの改ざんなど、さまざまな被害リスクが伴います。
効果的な対策を行うためには、絶対パスと相対パスの特徴を理解し、その上で状況に合ったセキュリティ対策を実施することが重要です。
あらゆるサイバー攻撃を効果的に予防したい方は、「GMOサイバーセキュリティ byイエラエ」へのお問い合わせをご検討ください。
最強のホワイトハッカー集団による技術力を活用し、あらゆるサイバー攻撃に対する対策サポートやインシデント対応支援をご提供いたします。
文責:GMOインターネットグループ株式会社
