セキュリティ &#8211; ケケンタの独学ITブログ

あわせて読みたい

PHPやWordPressを学ぶのにおすすめのプログラミングスクール【７選】僕はこれまで独学でPHPを学習してきました。結論から言えば、それでもPHPを習得することはできました。しかし、それに費やした累計学習期間は1年ほど。モチベーション…

PHPで特定ページにBASIC認証をかけるコード（全体）

/**
 * パスワード保護したいページに以下のコードを記述
 */
// ログイン情報
define('USER_ID', 'kekenta');
define('PASSWORD', 'kekenta_pass');

// 認証処理
if (!isset($_SERVER['PHP_AUTH_USER'])) {
    header("WWW-Authenticate: Basic realm=\"My Realm\"");
    header("HTTP/1.0 401 Unauthorized");

    /**
     * キャンセルが押下されたら実行する処理を記述
     */

    exit;
} else {
    if (
        (isset($_SERVER['PHP_AUTH_USER']) && $_SERVER['PHP_AUTH_USER'] == USER_ID) &&
        (isset($_SERVER['PHP_AUTH_PW']) && $_SERVER['PHP_AUTH_PW'] == PASSWORD)
    ) {
        /**
         * 成功したときの処理を記述
         */
    } else {
        /**
         * 失敗したときの処理を記述
         */
        exit();
    }
}

ポップアップの様子

参考：https://www.php.net/manual/ja/features.http-auth.php

ケケンタ

簡単ではありますが、以上となります！

この記事が参考になったなら何よりです。

またどこかの記事でお会いできるのを楽しみにしております。

【PHP】SQLインジェクションの原因や攻撃手法【対策コード付き】

ケケンタ — Sun, 24 Dec 2023 06:21:44 +0000

この記事ではセキュリティ攻撃の１つであるSQLインジェクションについて、その対策方法も含めて解説をしていきます。

この記事で分かること

SQLインジェクション攻撃の概要
SQLインジェクション攻撃の被害・影響
SQLインジェクション攻撃の流れ
SQLインジェクション攻撃の根本的原因
SQLインジェクション攻撃の対策方法（PHPでの対策コードあり）

ケケンタ

SQLインジェクション対策をしないと最悪の場合、DB内のデータをすべて抜き取られたり削除されるなど非常に大きな被害が発生します。
この記事を読んでいただき、理解の一助となれば幸いです。

セキュリティ対策についてしっかり学ばれたい方にはこちらの書籍がおすすめです。
（通称：徳丸本と呼ばれる「Webアプリ開発者必読」とまで言われている書籍です）

体系的に学ぶ安全なWebアプリケーションの作り方第2版脆弱性が生まれる原理と対策の実践
徳丸浩／著　SBクリエイティブ／出版│Amazon

あわせて読みたい

SQLインジェクションとは？

SQLインジェクションとは

Webアプリの脆弱性に付け込み、不正なSQL文を注入（インジェクション）することでDB内のデータを盗み出したり削除したりするセキュリティ攻撃のこと

被害・影響

SQLインジェクションの被害や影響は主に以下の通りです。

SQLインジェクションの被害・影響

情報漏洩
情報の改ざん
情報の削除
認証回避
ファイルの読出し・書出しなど

また、漏洩した情報が原因となりクレジットカード被害やWebサイトの改ざんによるマルウェア拡散、アカウントの乗っ取りなどの二次被害へ派生する可能性があります。

攻撃の流れ

SQLインジェクションが実行される場所としては、主に以下の箇所が挙げられます。

SQLインジェクションが実行される場所

検索画面
ログイン画面

Webアプリにおいて、上記の画面の共通点として、「ユーザが入力した任意の文字列を元に、システムがDB内から該当データを取得したりチェックを行う」という処理があります。

このとき、システム上では予め用意されたSQL文が実行されるのですが、攻撃者はそのSQL文に悪意のあるSQL文を無理やり注入（インジェクション）することで、DB内のデータを不正に操作します。

【具体例】検索画面を通じた情報の盗み出し

それではここで、「パソコン関連機器を検索する機能」を例として、SQLインジェクションが実際にどのようにして実行されるのかをお見せします。

以下のSQL文はユーザが検索フォームに入力した内容（$item_name）を元に、DBから該当する「機器名（name）」と「価格（price）」を表示するものです。

SELECT name, price FROM item_list WHERE name = $item_name;

攻撃者は、上記の内、$item_nameに不正な入力内容を含めることで、システム側が意図していないSQL文を実行させます。

例えば、攻撃者によって以下のような入力内容があったとします。

'; UPDATE item_list SET price = '0

これにより、システム側で組み立てられるSQL文は以下のようになります。
※分かりやすくするために攻撃者の入力内容を【】で囲んでいます。

SELECT name, price FROM item_list WHERE name = '【'; UPDATE item_list SET price = '0】';

ここで注目して頂きたいのが以下の2か所です。

WHERE name = ”;
UPDATE item_list SET price = ‘0’;

１では「’;」が文末に注入されたことで、無理やり正常のSQL文が終了させられています。

２では、UPDATE文が注入されていますが、WHERE文による条件指定が含まれていないため、更新対象はすべてのデータということになります。

つまり、上記のSQL文が実行されることにより、item_listテーブル内の価格情報（price）がすべて0円に変更されてしまうということです。

SQLインジェクションの根本的原因

結論から言うと、SQLインジェクションの根本的原因は

正規のSQL文にユーザの入力内容をそのまま埋め込む仕様になっている

ことにあります。

上記の例をご覧いただいたように、SQLインジェクションでは正規のSQL文からはみ出させる形で不正のSQL文を実行させています。

攻撃者は何らかの工夫を施すことで、この「はみ出す部分」を作り出し、そこに悪意あるSQL文を埋め込み、不正を行うのです。（例ではUPDATE文を「はみ出させる」ことで実行させています。）

これが可能となってしまう原因は、システム側でSQL文を組み立てる際、ユーザの入力内容をそのままSQL文に埋め込んでいるためです。

ケケンタ

つまり、ユーザの入力内容をそのまま埋め込まないことがSQLインジェクション対策になるということです。

対策方法

繰り返しになりますが、SQLインジェクションの原因は、ユーザの入力内容をSQL文にそのまま埋め込んでいることにあります。

この状態を回避する方法は複数ありますが、ここでは最も確実となるプレースホルダーを利用する方法をご紹介します。

プレースホルダーとは？

ケケンタ

プレースホルダーって何…？

という方のために簡単にご説明をすると

プレースホルダーとは、後から任意の値をセットするために予め用意された仮のスペースのこと

分かりやすく言うと、プレースホルダーを用いることで、後からSQL文の構造を変更することが理論的に不可となります。

つまり、攻撃者による不正なSQL文の実行を防ぐことが可能になるということです。

プレースホルダーの実装【PHPコードあり】

実際の実装例は以下の通りになります。（★が付いている処理が今回の対策と関連している部分です。）

 PDO::ERRMODE_EXCEPTION,    // SQL実行失敗時には例外をスロー
        PDO::MYSQL_ATTR_MULTI_STATEMENTS => false,      // ★複文の実行を不可にする 
        PDO::ATTR_EMULATE_PREPARES => false,            // ★静的プレースホルダーを使用する
    );
    // PDOオブジェクトを生成してDBへ接続
    $dbh = new PDO($dsn, $user, $password, $options);

    // SQL文の作成
    // ★プレースホルダー名として「:item_name」を指定
    $sql = 'SELECT name, price FROM item_list WHERE name = :item_name';

    // SQLへ接続準備
    $stmt = $dbh->prepare($sql);

    // ★プレースホルダ（:item_name）に値（$item_name）をセット
    $stmt->bindValue(':item_name', $item_name, PDO::PARAM_STR);

} catch (Exception $e) {
    // 例外処理
}

?>

以下より、★が付いている処理について順番に解説をしていきます。

【解説】複文の実行を不可にする

以下の部分でSQL文の複文の実行を不可としています。

PDO::MYSQL_ATTR_MULTI_STATEMENTS => false,      // ★複文の実行を不可にする

ケケンタ

「複文」とは、例えば以下のように、同時に複数のSQL文が実行される構成となっているものを指します。

SELECT name, price FROM item_list WHERE name = ''; UPDATE item_list SET price = '0';

前述したように、SQLインジェクションとは正規のSQL文から「はみ出す」形で不正なSQLを差し込む攻撃です。

つまり、このように複文の実行を不可にすることでSQLインジェクションの抑制になるのです。

ただし、SQLインジェクション攻撃のパターンの中には複文を利用しないものもあります。
したがって、このオプション指定はあくまで特定の攻撃に対する抑制にはなるものの、完全な対策とはならない点に注意が必要です。

【解説】静的プレースホルダーを指定

次に静的プレースホルダーについてですが、こちらは以下の部分で指定をしています。

PDO::ATTR_EMULATE_PREPARES => false,            // ★静的プレースホルダーを使用する

プレースホルダーには実は

静的プレースホルダー
動的プレースホルダー

の2種類があります。正しく処理が記述できていればどちらを使用してもSQLインジェクション対策となりますが、静的プレースホルダーの方が原理的に対策が確実なため、仕様的に問題が無ければこちらを採用するのが無難です。

【解説】プレースホルダーの利用

プレースホルダーを実際に使用している箇所がこちらです。

// SQL文の作成
// ★プレースホルダー名として「:item_name」を指定
$sql = 'SELECT name, price FROM item_list WHERE name = :item_name';

    ～中略～

// ★プレースホルダ（:item_name）に値（$item_name）をセット
$stmt->bindValue(':item_name', $item_name, PDO::PARAM_STR);

処理の流れは以下のようになります。

「:item_name」という任意のプレースホルダー名を設定
bindValueメソッドでプレースホルダーに実際の入力内容をセット

なお、プレースホルダー名の接頭辞には「:item_name」のように「:（コロン）」を使用します。

また、bindValueメソッドの第3引数には、入力内容に応じた型を指定します。例えば今回は入力内容として文字列型での入力を想定しているため「PARAM_STR」を指定しました。

ケケンタ

以上がSQLインジェクションの対策コードの解説でした。
対策内容を整理すると以下のようになります。

SQLインジェクション対策まとめ

SQLインジェクション対策にはプレースホルダーを使用する
オプション指定により複文の実行を不可にできる　※完全な対策とはならない
静的プレースホルダーなら原理的にSQLインジェクションの実行が不可となる
プレースホルダーを使用する手順は、①プレースホルダーの設定　→　②プレースホルダーに値をセット（バインド）

まとめ

ここまでSQLインジェクションについてお伝えをしてきました。

SQLインジェクションが成功してしまった場合、情報漏洩や改ざんなどが発生し、2次被害としてアカウントの乗っ取りなどに繋がってしまう恐れがあります。

プレースホルダーを使用することで対策が可能なため、Webアプリを開発する際には必ず実装するようにしましょう。

ケケンタ

最後に、僕がセキュリティ対策を学ぶ際に利用した書籍をご紹介させていただきます。

created by Rinker

¥3,520 (2026/06/09 10:55:28時点楽天市場調べ-詳細)

体系的に学ぶ安全なWebアプリケーションの作り方第2版脆弱性が生まれる原理と対策の実践
徳丸浩／著　SBクリエイティブ／出版│Amazon

こちらの書籍は通称徳丸本と呼ばれており、Webセキュリティの第一人者である徳丸浩さんが手がけられている書籍です。Webアプリを開発する方やWebアプリケーションのセキュリティ対策を徹底的に学びたい方にとてもオススメできる一冊です。

Webアプリケーション開発において、ある意味セキュリティ対策は技術力以上に重要です。

こちらの書籍を読むことでWebアプリケーションにおいて必要なセキュリティ要件も明確となるため、Webアプリ開発に携わる方は必ず目を通しておきたい一冊です。

ケケンタ

最後までお読みいただきありがとうございました！
また別の記事でお会いできれば光栄です！

あわせて読みたい

【ディレクトリ・トラバーサル】概要と対策方法を解説【PHP対策コード】今回はセキュリティ攻撃の１つであるディレクトリ・トラバーサルについて解説をしていきます。ディレクトリ・トラバーサル攻撃を受けてしまうと、被害内容によっては社…

あわせて読みたい

【XSS】クロスサイト・スクリプティングとは？対策方法も解説【PHP】今回はWebアプリにおけるセキュリティ攻撃の１つであるXSS（クロスサイト・スクリプティング）について解説をしていきます。この記事を読むと分かること XSS（クロス…

あわせて読みたい

【CSRF】攻撃の流れやPHPでの対策方法を解説【クロスサイトリクエストフォージェリ】 Webサイトへのセキュリティ攻撃の１つにCSRF（クロスサイトリクエストフォージェリ）というものがあります。この記事では、 CSRFの攻撃の流れ攻撃による影響・被害 PH…

【ディレクトリ・トラバーサル】概要と対策方法を解説【PHP対策コード】

ケケンタ — Mon, 18 Dec 2023 00:18:08 +0000

今回はセキュリティ攻撃の１つであるディレクトリ・トラバーサルについて解説をしていきます。

ケケンタ

ディレクトリ・トラバーサル攻撃を受けてしまうと、被害内容によっては社会的信頼を失い、会社に大きな損害を与える結果となってしまう恐れもあります。
この記事を読むことでPHPでの対策方法も分かるため、ぜひ最後までご覧ください。

この記事を読むとわかること

ディレクトリ・トラバーサルの概要
ディレクトリ・トラバーサルの攻撃手法
ディレクトリ・トラバーサルによる被害・影響
ディレクトリ・トラバーサルを受けてしまう原因
ディレクトリ・トラバーサルの対策方法（PHPコードあり）

Webアプリのセキュリティ対策についてしっかり学ばれたい方にはこちらの書籍がおすすめです。
（通称：徳丸本と呼ばれる「Webアプリ開発者必読」とまで言われている書籍です）

体系的に学ぶ安全なWebアプリケーションの作り方第2版脆弱性が生まれる原理と対策の実践
徳丸浩／著　SBクリエイティブ／出版│Amazon

あわせて読みたい

ディレクトリ・トラバーサルとは？

ディレクトリ・トラバーサルとは、

ディレクトリ・トラバーサルとは

本来はアクセスを許可していないファイルへ不正アクセスすることで、データを盗んだり、改ざん、削除するセキュリティ攻撃

です。

ディレクトリ・トラバーサル攻撃の主な被害・影響

ディレクトリ・トラバーサル攻撃よって起こりうる被害としては主に以下のようなものが挙げられます。

ディレクトリ・トラバーサル攻撃によって起こりうる被害

重要情報の流出
データの改ざん
データの削除

そしてディレクトリ・トラバーサル攻撃による1次被害がさらに発展し、以下のような大きな被害に繋がってしまう恐れがあるのです。

アカウントの乗っ取り
社会的信頼の失墜による経済的損失
マルウェアの拡散（データに埋め込まれるなど）

ディレクトリ・トラバーサル攻撃の流れ

このように重要データにまつわる被害へと発展する可能性のあるディレクトリ・トラバーサル攻撃ですが、実際に攻撃者がどのような方法で本来ならアクセス不可のファイルへアクセスできてしまうのかをお見せしようと思います。

前提として、一般的にディレクトリ・トラバーサル攻撃を受けるWebアプリには「外部からサーバー内のファイルを呼び出せる」という機能が実装されています。

それを踏まえた上で、１つのWebアプリを例に挙げ、ディレクトリ・トラバーサル攻撃がどのようにして行われるのかをお伝えしていきます。

Webアプリにおける通常時の処理

今回、例として挙げるWebアプリには、

ユーザが任意のテンプレートファイルを呼び出し、サイトの見た目を変更できる機能

が実装されている設定でご説明をしていきます。

このWebアプリの処理の流れはこうです。

ユーザが「ファイル名入力フォーム」に任意のファイル名を入力する
送信ボタンが押下されると、入力されたファイル名に基づくリクエストがサーバーへ要求される
サーバーが指定のテンプレートファイルをブラウザへ返し、サイトの見た目が変更される

ケケンタ

ここで、入力されたファイル名に基づくリクエストとは、例えば以下のようなものを言います。

（例）ファイル名として「sample」が入力された場合
https://example/temp.php?file_name=sample.html

最後の「.html」はプログラム内で自動的に付与されるようになっています。

上記のリクエスト（URL）がサーバーへ送られることで、temp.php上でテンプレートファイルまでのフルパスが生成され、それによりテンプレートファイル（sample.html）が表示されるという流れとなります。

攻撃の例

次に、攻撃者がこの機能を利用して非公開ファイルを表示する例をお見せします。

攻撃者は、ファイル名に次のようなパスを指定します。

../../../etc/hosts%00

ここで注目して頂きたいのが、「../」と「%00」の部分です。

「../」は、相対パスにおいて１つ上のディレクトリを意味する記号です。
上記のパスの目的は、公開ルート（ドキュメントルート）のさらに上の階層にあるルートディレクトリ内の「/etc/hostsファイル」を指定することにあります。

「%00」はヌルバイトを表します。また、ヌルバイトというのはヌル文字（＝文字列の終端を表す文字などとして利用される文字）のことです。これにより、プログラム側で最終的に付与される「.html」が無いものにされてしまう、という流れになります。
※ヌル文字の扱いはプログラミング言語によって異なります。

上記のパスによって送出されるリクエスト（URL）は以下のようになります。

https://example/temp?file_name=../../../etc/hosts%00

このリクエストにより、プログラム側でテンプレートファイルを呼び出すためのフルパスが生成されるわけですが、ヌルバイト（%00）によって「ここが文字列の終端」という意味になるため、プログラム側で「.html」が省略され、結果的に生成されるフルパス（つまり呼び出されるファイル）は以下のようになるのです。

/etc/hosts

ケケンタ

「/」とはサーバーのルートディレクトリのことで、本来なら公開サイトからのアクセスは禁止されています。
しかし、ここまでの説明のように、「Webアプリのファイル呼び出し機能」、「../」そして「ヌルバイト」を利用することで不正アクセスが可能となってしまうのです。

あわせて読みたい

【HTML】パスとは？CSSが反映されない原因｜相対パスと絶対パス【初心者】 CSSが上手く反映されない…… とお困りの方へに向けて、この記事ではCSS読み込みの基本となるパスについて詳しく解説していきます。この記事で分かることパスとは何か…

ディレクトリ・トラバーサル攻撃を受ける主な原因

ここまで、具体的な攻撃例を挙げてディレクトリ・トラバーサル攻撃の流れをご説明していきました。

それでは、ディレクトリ・トラバーサル攻撃を受ける原因にはどのようなものがあるのでしょうか？

主な原因としては、以下のものが挙げられます。

ディレクトリ・トラバーサル攻撃を受ける原因

外部からサーバー内のファイル名を指定して呼び出せる仕様になっている
外部からサーバー内のファイルを呼び出す際、パスにディレクトリ名が含まれている
外部から要求されたファイル名に対するチェックを行っていない

1つ目は攻撃の例で挙げたWebアプリの機能のことです。

実を言うと、ディレクトリ・トラバーサル攻撃においては、この外部からファイル名を指定して呼び出せる機能を実装しないことが最大の対策です。

ケケンタ

こちらも踏まえ、このあとはディレクトリ・トラバーサル攻撃の対策方法をご紹介していきます！

対策（PHPによるコード解説あり）

対策①　外部からファイル名を指定して呼び出せる仕様を避ける

ディレクトリ・トラバーサルが実行できてしまうのは、そもそもとして、外部から任意のファイル名を指定して呼び出せる仕様になっているためです。

従って、ディレクトリ・トラバーサル対策として最も有効なのが

外部から任意のファイル名を指定して呼び出せる仕様を避ける

です。

とは言え、機能として実装が必要な場合もあるかと思います。

そうした際には以下のような代替手段を用いることで、ディレクトリ・トラバーサル対策になります。

呼び出すファイル名を固定のものにする＝外部からファイル名の指定をさせない
ファイル名を直接指定せず、別の表現（数字など）で指定する

ケケンタ

繰り返しになりますが、任意のファイル名を指定できる仕様を避けることがディレクトリ・トラバーサルへの根本的な対策となります。

しかし、上記の代替手段を用いることも難しいという場合には、以下よりご説明する対策を取り入れることでディレクトリ・トラバーサルが成功してしまう可能性を低めることが可能です。

対策②　呼び出すファイルの置き場所を固定のディレクトリにする

「呼び出すファイルの置き場所を固定のディレクトリにする」とは、例えばユーザが呼び出せるファイルの置き場所を「sampleディレクトリ」に限定するという意味です。

その上で、ユーザから入力されたファイル名（攻撃者からの入力の場合はパス）からは、最後のファイル名部分のみを取得するようにします。

sampleディレクトリへのパス
入力内容から取得したファイル名

上記の２つを組み合わせることで、仮に「../../../etc/ファイル名%00」という入力が行われたとしても、生成されるフルパスは必ず、

/～省略～/sample/ファイル名

という形となり、意図しないディレクトリ内のファイルへの不正アクセスを防ぐことが可能です。

実装例

上記の機能をPHPで実装する例をお見せします。

basename()関数は、引数で渡したパスの最後にある名前の部分（ここで言うファイル名）を返す関数です。

上記の処理により、「../../../../etc/hosts%00」という攻撃用の入力内容も、最終的には

/var/www/html/sample/hosts

となるため、不正アクセスは失敗に終わります。

※プログラム内の「.html」はヌル文字（%00）によって省略されます。

ケケンタ

ただし、ここで１つ注意点があります！

仮に上記の「hosts」が「hosts.php」など拡張子付きで指定された場合はどうでしょう？

この場合、生成されるフルパスは拡張子「.php」までを含めた/var/www/html/sample/hosts.phpとなり、場合によっては意図しないアクセスを許してしまう恐れがあります。

こうした事態を避けるためには、入力内容から取得したファイル名（上記プログラム例の$file_name = $_GET[‘file_name’];の部分）の妥当性を検証する必要があります。

PHPではバージョン5.3.4以降であればパス中にヌル文字が含まれていた時点でエラーになる仕様となっているようです。つまり、5.3.4以降のバージョンを使用する場合はファイル名の妥当性チェックは省略が可能となります。

対策③　ファイル名を英数字のみに限定する

ディレクトリ・トラバーサル攻撃では「../」記号が用いられます。

そのため、ファイル名の入力を英数字に限定することがディレクトリ・トラバーサル対策となります。

実装例

上記のコードの内、以下の部分が実際に半角英数字の検証を行っている箇所になります。

//半角英数字のみの入力かどうかを検証
if(!preg_match( "/^[a-zA-Z0-9]+$/" , $file_name)){
	// 半角英数以外の文字が含まれていた場合は処理を受け付けない
}

ここでは、PHPのpreg_match()関数と正規表現を用いることで検証処理を実装しています。

参考：https://www.php.net/manual/ja/function.preg-match.php

ケケンタ

以上がPHPにおけるディレクトリ・トラバーサル攻撃対策でした。

基本的には対策①の外部からファイル名を指定して呼び出せる仕様を避けるが最も確実な対策ですが、機能的に外すことが難しい場合には、

②や③を取り入れることでディレクトリ・トラバーサルのリスクを減らすことが可能です。

まとめ

ディレクトリ・トラバーサルは本来アクセスが許可されていないファイルへ不正アクセスされてしまうことで、情報漏洩やデータ改ざん、削除といった問題に加え、漏洩した情報を元にしたアカウントの乗っ取りなどに派生してしまう危険性があるセキュリティ攻撃です。

ディレクトリ・トラバーサル攻撃が実行可能となってしまう原因は、

Webアプリに外部から任意のファイルを指定して呼び出せるという機能的な仕様

にあります。

したがって、根本的な回避策は、この仕様を実装しないことです。

しかし、場合によってそれが難しい場合には、項目「対策（PHPによるコード解説あり）」でお伝えした②、③仕様や検証処理を取り入れることがディレクトリ・トラバーサル対策になります。

ケケンタ

セキュリティ対策は運営・開発者だけでなくそのユーザのために実施するものでもあります。
この記事でお伝えした内容だけでなく、開発するWebアプリの仕様に適した対策を施すようにしましょう。

以上、ここまでディレクトリ・トラバーサルについて詳しくお伝えをしてきました。

ケケンタ

最後に、僕がセキュリティ対策を学ぶ際に利用した書籍をご紹介させていただきます。

created by Rinker

¥3,520 (2026/06/09 10:55:28時点楽天市場調べ-詳細)

体系的に学ぶ安全なWebアプリケーションの作り方第2版脆弱性が生まれる原理と対策の実践
徳丸浩／著　SBクリエイティブ／出版│Amazon

Webアプリケーション開発において、ある意味セキュリティ対策は技術力以上に重要です。

こちらの書籍を読むことでWebアプリケーションにおいて必要なセキュリティ要件も明確となるため、Webアプリ開発に携わる方は必ず目を通しておきたい一冊です。

ケケンタ

それでは最後までお付き合いいただきありがとうございました！
また別の記事でお会いできれば光栄です！

あわせて読みたい

【PHP】SQLインジェクションの原因や攻撃手法【対策コード付き】この記事ではセキュリティ攻撃の１つであるSQLインジェクションについて、その対策方法も含めて解説をしていきます。この記事で分かること SQLインジェクション攻撃の…

あわせて読みたい

【XSS】クロスサイト・スクリプティングとは？対策方法も解説【PHP】

ケケンタ — Mon, 11 Dec 2023 12:38:59 +0000

今回はWebアプリにおけるセキュリティ攻撃の１つであるXSS（クロスサイト・スクリプティング）について解説をしていきます。

この記事を読むと分かること

XSS（クロスサイト・スクリプティング）の概要
XSSが実行されるまでの流れ
XSSが起こる原因
XSSの対策方法３つ（PHP）

ケケンタ

それでは早速見ていきましょう！

あわせて読みたい

XSS（クロスサイト・スクリプティング）とは？

クロスサイト・スクリプティング（XSS）とは

攻撃者が脆弱性のあるWebサイトに悪意のあるスクリプト（JavaScriptコード）を埋め込み、一般ユーザが使用しているブラウザ上においてスクリプトが実行されることによって、重要な情報を抜き出したり、改ざんなどを実行する攻撃

もう少しかみ砕いて言うと、掲示板サイトなどに投稿された悪意のあるリンクを一般ユーザがクリックすることで、

クリックしたユーザ本人の情報を抜き取る
攻撃対象のサイト上のコンテンツを偽の情報に書き換える

といったことが実行される攻撃です。

ケケンタ

実際に抜き取られる情報としては、重要情報を格納しているクッキーが挙げられます。クッキーの中にはログイン情報に関するセッションIDも含まれているため、いわゆるセッションハイジャックという別の攻撃にも繋がってしまう可能性があるのです。

XSS攻撃が行われる流れ

ここで、イメージを持ちやすくするためにXSS攻撃実行の具体的な流れを見てみましょう。

XSS攻撃の流れ（ver.情報漏洩）

掲示板などの「一般ユーザ」が任意のテキストを投稿できる場所に、「攻撃者」が悪意のあるスクリプトを含めたリンクを投稿する。（Youtubeのコメント欄など）
そのリンクを「一般ユーザ」がクリックすることで、「リンク先（脆弱性があるサイト）」へページ遷移する。
「リンク先」が開かれると同時に、悪意のあるスクリプトが実行される。（これにより、例えば偽物の入力フォームなどが表示される）
ユーザがさらにボタンをクリックするなどしてしまうことで、クッキーなどの重要情報が「攻撃者」に漏洩する

補足として、「悪意のあるスクリプトを含めたリンク」とは例えば以下のようなURLのことを言います。

https://example.com?user=

太字になっている部分が「悪意のあるスクリプト」のことで、上記のようなリンクをクリックすることで以下のような流れが起こります。

https://example.comへ遷移
それと同時にhttps://example.comへ、userというキー名にという文字列を格納したデータをGET送信する
https://example.comが開かれると、の部分がブラウザ上で実行される

上記のスクリプトではただ単にポップアップウィンドウを表示するだけですが、攻撃者はここに悪意のあるスクリプトを含めて情報を盗み取ったり、遷移先ページ内のコンテンツを改ざんし、混乱を招くといったことを行うわけです。

ケケンタ

ブラウザがscriptタグで囲まれた部分をJavaScriptのプログラムだと認識して実行するという仕組みを悪用しているんですね。

XSSの対策方法３つ【PHP】

XSSの原因

XSS攻撃が成功してしまう主な原因は以下の通りです。

XSS攻撃が成功してしまう主な原因

入力フォームにユーザが入力した値をサニタイジング（無害化）せずブラウザへ表示している
入力フォームで入力値のチェックを行っていない
表示するページに文字コード（charaset）を指定していない

逆に言うと、上記に対してしっかりと対策を施すことでXSS攻撃が成功してしまう可能性を大幅に減らすことが可能です。

対策①　サニタイジング（無害化）する

XSS対策におけるサニタイジング＝無害化とは、いわゆるエスケープ処理のことです。

具体的には、XSS攻撃で使用される&，<，>，”，’の５文字の特殊文字を「<」や「>」といった文字列に変換することで、ブラウザに単なる文字列として解釈させることができます。

XSSでは悪意のあるスクリプトを埋め込む際にscriptタグが使用されることは前述のとおりですが、つまり

の部分を単なる文字列に置き換える＝エスケープしてしまうことで、悪意のあるスクリプトを文字通り無害化できる

ということです。

実装例

上記のように記述することで、「出力する文字列」の部分を無害化（サニタイジング）した上でブラウザに表示することが可能となります。

第2引数のENT_QUOTESを指定することでシングルクォーテーション「’」とダブルクォーテーション「”」もエンコードの対象になります。

また、上記は文字コードにUTF-8が指定されているファイルに記載する際の例です。第3引数で「このファイルの文字コードはUTF-8なのでそれに基づいてエスケープ処理して下さい」と伝えています。

対策②　入力値をチェックする（バリデーションチェック）

入力時点で制限を設けておくことにより、XSSの自由度を大幅に削ることが可能です。

例えば、電話番号の入力欄に「数字のみ」を許可するようにバリデーション（検証）を実装することでスクリプトの挿入自体が不可能となります。

あるいは、文字制限を設けるだけでもスクリプトの入力を抑えることが可能となり、こちらもXSSに有効な対策となります。

実装例

以下のコードは半角数字のみ許可する場合の例です。

if( preg_match( '/^[0-9]+$/', '入力された文字列' ) ) {
	// 入力された文字列が半角数字のみの場合の処理
}else{
	// 入力された文字列が半角数字のみでない場合の処理
}

ここで重要なのが以下の2か所です。

preg_match( ～ )
‘/^[0-9]+$/’

preg_match()関数は、第2引数で設定した文字列のパターンが、第1引数に設定した正規表現と一致するかどうかを判定する関数です。
また、‘/^[0-9]+$/’の部分で、正規表現によって「0～9の半角数字」の入力のみを指定しています。

もう少し詳細に書くと、
0～9の半角数字（[0-9]）で始まり（^）、その後ろには0～9の半角数字（[0-9]）のいずれかが連続して続き（+）、0～9の半角数字（[0-9]）いずれかで終わる（$）文字列
という意味になります。
（頭と最後についているスラッシュ（/）は「デリミタ」と呼ばれるもので、正規表現パターンの範囲を表すためのものです。）

ケケンタ

正規表現を使えば、例えばハイフン付きの電話番号、メールアドレスの形式といった特定のパターンの文字列だけを許可するバリデーションの実装が可能です。
実際にバリデーションを実装する際はご自身のアプリに合わせた実装をしましょう。

このようにバリデーションを実装することで、XSSで利用される悪意あるスクリプトの入力そのものを抑制できます。

対策③　表示するページの文字コードを指定する

分かりやすく言うと、ブラウザに表示するページで使用している文字コードを明示するということです。

通常、ブラウザはHTTPヘッダに文字コードの指定があれば指定通りに、指定が無い場合には独自のルールに基づいて文字コードを予測し、画面表示処理を実行します。

独自のルールとは、例えば

HTMLテキストの冒頭を参照し、特定の文字列が含まれていたときには特定の文字コードであると解釈する

といったものです。

攻撃者はこの独自のルールを悪用し、ブラウザに対して「このファイルはこういう文字コードで記述されていますよ」と誤認させるような文字列をファイル内に仕組みます。

ここで、前述したサニタイジングのコードを改めて提示させて頂きます。

以下のコードの第3引数に注目して頂くと「UTF-8」の指定があります。

これにより「表示する文字列をサニタイジング（無害化）する際にはUTF-8に基づいてください」と指示を行っています。

そのため、攻撃者がブラウザ独自のルールを悪用し、ブラウザに「表示するファイルがUTF-8ではない別の文字コードで記述されている」と誤った解釈をさせた場合、サニタイジングが上手く実行されず、結果として悪意あるスクリプトが実行されてしまう恐れがあるのです。

これを防ぐためにも、表示するページ（ファイル）の文字コードを指定することが大切になります。

ケケンタ

文字コードを指定する方法を３つご紹介します！

実装例①　header関数でContent-Typeヘッダに文字コードを指定する

上記のように記述するだけで、そのPHPファイルで生成されたHTMLページの文字コードが「UTF-8」であることを指定できます。

ここで１つ注意点がありますので公式ドキュメントから引用させて頂きます。

覚えておいて頂きたいのは、header() 関数は、通常の HTML タグまたは PHP からの出力にかかわらず、すべての実際の出力の前にコールする必要があることです。
https://www.php.net/manual/ja/function.header.php

つまり、header()関数はHTMLタグやPHPのechoなどの画面表示に関わる記述よりも前の行に記述をしましょうということです。

ケケンタ

文字コードの指定方法としてはこれが最も確実です。

実装例②　php.iniのdefault_charsetで指定する

php.iniに以下の記述をすることでも文字コードが指定できます。

default_charset = "UTF-8"

実装例③　HTMLのhead要素内でcharasetを指定する

php.iniの変更が出来ないような状況の場合は、HTMLのhead要素内で文字コードを指定するのも有効です。

ケケンタ

以上がPHPでアプリ開発をするに必要なXSS対策でした。

まとめ

ここまで、XSSの概要や攻撃の流れ、PHPでの対策方法について解説をしてきました。

最後に、対策方法３つを改めて整理します。

クロスサイトスクリプティング（XSS）対策【３つ】のまとめ

サニタイジング（無害化）する
入力値をチェックする（バリデーションチェック）
表示するページの文字コードを指定する

XSSが成功してしまうようなサイトを公開してしまうと、サイト運営者ではなく一般ユーザに多大な迷惑、被害を与えてしまう可能性があります。

安全なアプリ開発をするためにも、このブログだけではなく、ぜひIPAの資料や市販の書籍にも目を通してセキュリティ対策への理解を深めてみて下さい。

ケケンタ

最後に、僕がセキュリティ対策を学ぶ際に利用した書籍をご紹介させていただきます。

created by Rinker

¥3,520 (2026/06/09 10:55:28時点楽天市場調べ-詳細)

体系的に学ぶ安全なWebアプリケーションの作り方第2版脆弱性が生まれる原理と対策の実践
徳丸浩／著　SBクリエイティブ／出版│Amazon

Webアプリケーション開発において、ある意味セキュリティ対策は技術力以上に重要です。

ケケンタ

最後までお読みいただきありがとうございました。
また別の記事でお会いしましょう！

あわせて読みたい

【CSRF】攻撃の流れやPHPでの対策方法を解説【クロスサイトリクエストフォージェリ】

ケケンタ — Wed, 06 Dec 2023 22:55:53 +0000

Webサイトへのセキュリティ攻撃の１つにCSRF（クロスサイトリクエストフォージェリ）というものがあります。

この記事では、

CSRFの攻撃の流れ
攻撃による影響・被害
PHPでWebアプリを制作する際の対策方法

について解説をしていきます。

この記事を読むと分かること

CSRF（クロスサイトリクエストフォージェリ）とは何か？
CSRF攻撃実行までの流れ
CSRFによる被害・影響範囲
PHPアプリ制作におけるCSRF対策

ケケンタ

Webアプリ開発においてセキュリティ対策は必須項目です。対策するべきセキュリティ攻撃はいくつかありますが、この記事ではCSRF（クロスサイトリクエストフォージェリ）を取り上げて解説をしていきます。

あわせて読みたい

CSRF(クロスサイトリクエストフォージェリ)とは？

CSRF攻撃とは？

一般ユーザが攻撃用に用意されたWebサイトへアクセスすることで、攻撃対象のサーバーへ不正なリクエストが送信・実行されてしまう攻撃手法

CSRF攻撃により、攻撃対象のサーバー、例えば掲示板サイトなどで、ユーザが意図しない投稿が行われてしまう、あるいは銀行口座から不正送金が行われてしまうといった被害が生じます。

CSRF攻撃の流れ

初めてCSRFという言葉を聞く方にとってはなかなかピンと来ないかもしれません。

そこで、実際にどういった流れで、どういった攻撃が実行されるのかを具体例を交えてお伝えしようと思います。

CSRF攻撃の流れ

悪い人（攻撃者）が「トラップ用のWebサイト」を用意する
一般ユーザが普段から利用しているサイトへログインをし、その後ログアウトをしないままサイト（＝攻撃対象のサイト）を閉じる
一般ユーザが１で用意された「トラップ用のWebサイト」へ、（罠と気が付かずに）アクセスする
「トラップ用のWebサイト」から「攻撃対象のサイト」へ一般ユーザが意図していないリクエスト（コメント投稿など）が送られる

上記を、以下のような具体的な人物やサイトに置き換えて、再度攻撃の流れをお見せします。

一般ユーザ　　　　⇒　Aさん
攻撃対象のサイト　⇒　銀行サイト

CSRF攻撃の流れ（具体例）

悪い人（攻撃者）が「トラップ用のWebサイト」を用意する
Aさんが「銀行サイト」へログインをする。そして、ログアウトせずに「銀行サイト」を閉じる。
悪い人からAさん宛てに偽物のメールが届く（いわゆるフィッシング詐欺）
Aさんが、偽物のメールに記載されていたリンクをクリックし、１で用意された「トラップ用のWebサイト」へアクセスする
すると「トラップ用のWebサイト」から「銀行サイト」へ【Aさんの口座から悪い人の口座へ10万円を送金する】というリクエストが送られる
悪い人は10万円をゲットする

このように、Aさん（一般ユーザ）が気が付かない内に、不正操作を行わせてしまうのがCSRF攻撃です。

ケケンタ

気づかれない内に不正な操作が実行されてしまうというのが恐ろしいですね……。

CSRFの影響・被害

具体例でCSRFがどのような攻撃なのかというイメージを掴めたところで、CSRFによる被害や影響範囲についてお伝えをしたいと思います。

前提として、本記事では

どこまで影響が及ぶのか、またそれによってどのような被害が生じるか

という観点から整理をさせて頂きます。

影響範囲

CSRF攻撃の影響範囲

Webアプリ
サーバー

まずWebアプリについてですが、前述した例では銀行サイトのログイン状況が関連していましたが、ログイン機能の有無は実は関係ありません。

例えば、ログイン機能が必要のない掲示板サイトなどに対しても、同様の流れで「不正投稿」が可能となります。

また、Webアプリと言っていますが、もう少し初学者の方向けにかみ砕いて言うと、

PHPなどのサーバーサイド言語などによって、ユーザの操作に応じて処理を行うサイト

そのすべてについて、CSRFの影響が及ぶ可能性があると言えます。

悪い人たちは、一般ユーザがそのときまさに使用しているブラウザを勝手に拝借し、Webアプリが持つ動的な処理部分を利用して悪事を働いているというわけです。

次のサーバーについては、別のセキュリティ攻撃であるDos攻撃という、言うなれば連続でサーバーに命令を出して疲れさせる攻撃の影響があります。

具体的には、CSRFによって掲示板サイトへ大量の不正な書き込みをすることにより、サーバーを落とすということが可能です。

ケケンタ

DoS攻撃に関してですが、金曜ロードショーで某ジブリ映画が放映されるとき、某SNSのエンジニアの方々がサーバーが落ちないよう準備をしているそうです。（一般ユーザが合言葉を一斉に投稿するため）
DoS攻撃ではありませんが、つまりは大量の投稿が一気に発生するとサーバーが疲れて（落ちて）しまうということなんですね。

被害

CSRF攻撃による被害

意図せず不正リクエストを送信させられたユーザに対して、「不正リクエストを送信した攻撃者」という誤解が生じる
CSRFを利用したDoS攻撃によってサーバーが落ちる（＝サービス停止）
不正送金など一般ユーザへ実質的な損害が発生する

後者２つはおおよそイメージが掴みやすいかと思いますが、1つ目については補足をさせて頂くと、

不正リクエストを送信するのは、あくまでも攻撃者のブラウザからではなく、一般ユーザのブラウザからとなります。

そのため、Webアプリ側のログには、一般ユーザ側の情報が残ってしまい、結果として一般ユーザが「攻撃者」だと認識されてしまうのです。

ケケンタ

全く身に覚えがないのに、気が付けば悪者扱いされてしまうかもしれないのです。
しかし、Webアプリを開発する側でしっかりと対策を施すことでCSRFを防げる確率は大きく向上します。
一般ユーザの方々に安全にWebアプリを使用してもらうためにも、Webアプリ開発をする方はしっかりと知識を身に付けて対策をしましょう。

CSRF攻撃の対策（PHP）

トークンを利用

PHPでアプリ開発をする際、CSRF攻撃への最も一般的な対策として知られているのが、トークンを利用する方法です。

トークンとは、ランダムな文字の組み合わせによって生成された文字列のことです。

簡単にご説明すると、ユーザからのリクエストを受け取る際に、トークンをチェックすることで、そのリクエストが本当に正しい（＝不正ではない）リクエストなのかを確認し、CSRFを防ぐことが可能です。

具体的には以下のような流れでトークンの生成とトークンのチェックを行います。

トークンによるリクエストチェック

ユーザ操作によるリクエストの送信時にトークン（合言葉）をランダム生成する
リクエストと共に、トークンをセッションに格納かつPOST送信する
受取り側で、受け取ったトークンとセッションに格納されているトークンを照合する
一致していれば正規リクエストとして正常処理し、
不一致なら不正リクエストとして拒否する

これを具体的なコードに書き起こすと以下のようになります。

// トークンを生成
$token = bin2hex(random_bytes(32));

// トークンをセッションに格納
$_SESSION["token"] = $token;



	// 隠したinputタグにトークンを持たせ、POST送信時に他の入力値と共に送信する
	">
  
	// ---------------------------------  
	// --- 入力フォーム関係のタグなど ---
	// ---------------------------------

解説

まず、ここでランダムな文字列であるトークンを生成しています。

// トークンを生成
$token = bin2hex(random_bytes(32));

random_bytes()はランダムなバイト列を生成する関数で、暗号学的に安全なため、生成されたデータは第三者に推測されない性質を持ちます。

bin2hex()は引数で渡した文字列（バイナリデータ）を16進表現に変換する関数で、上記ではrandom_bytes()によって生成したランダムな文字列を、bin2hex()によって16進数に変換しています。

この２つの関数の組み合わせによって、ランダムな文字列を生成するという流れです。

続いて、生成したトークンをセッションに格納します。

// トークンをセッションに格納
$_SESSION["token"] = $token;

最後に、POST送信をする際にトークンを一緒に送信するため、HTMLのformタグ内に、トークンを持たせたinputタグを配置します。

このとき、トークンの情報がサイト上に表示されては困るため、inputタグのtypeをhiddenとすることで情報を隠蔽しています。



	// 隠したinputタグにトークンを持たせ、POST送信時に他の入力値と共に送信する
	">
  
	// ---------------------------------  
	// --- 入力フォーム関係のタグなど ---
	// ---------------------------------

このようにトークンを利用することで

リクエストが正しい送信元によるものかどうかを確認することが可能

となります。

ケケンタ

トークンとは言うなれば合言葉と同じです。
合言葉を知っている人＝正規のリクエストしか受け付けないようにすることで、不正リクエストを送信してくるCSRF攻撃の対策となるのです。

リファラーをチェックする

次に、HTTPヘッダの情報の１つであるリファラを利用して、不正リクエストを弾く方法をご説明します。

理由は後述しますが、この方法はあくまで保険的な位置づけとなるため、確実にCSRFを防げるというものではありません。前述したトークンでリクエストをチェックする方法と組み合わせることで、防げる確率が上がるという風にお考え下さい。

そもそもHTTPヘッダとは、

Webサイトを表示する際にやり取りされる情報の１つで、この中に表示するページのコンテンツタイプであったり、Cookieに含まれる情報などが記載されている、言うなれば説明書的なものです。

この中にリファラーという、直前までいたWebサイトのURLが記載されている情報が含まれています。

つまり、リファラーを確認することで、リクエストを送信してきた人（ブラウザ）が、本来通るべきページをきちんと通ってそのリクエストを送信しているかどうかが判別可能となります。

ケケンタ

ただし、ここで注意点があります。

リファラーは、必ずしも毎回記載されているわけではなく、さらにやろうと思えばリファラー自体を変更することも可能です。つまりリファラーには、その情報が正しいという保証があるわけではなく、安心して信用していいというものではないということです。

この節の冒頭でお伝えした注意書きは、こうした理由によるものです。

実際に使用することでCSRFを防げる確率は高まりますが、確実性は無いため

トークンを利用した対策と併用することが望ましい

です。

それではここでリファラーを利用したリクエストチェック方法についてコードを解説していきます。

// リファラー＝直前にいたWebページの情報を取得
$referer = $_SERVER['HTTP_REFERER'];

// リファラーからホスト名（ドメイン名）を取得
$referer_host = parse_url($referer)['host'];

// 自分のサイトのドメインを設定
$host_url = 'example.com';

if(stristr($referer_host, $host_url)){
	// 正常なアクセスだった際の処理
} else {
	// 不正アクセスだった場合の処理
  // （例）エラーページを返すなど
}

解説

まず、この部分でリファラーを取得しています。

// リファラー＝直前にいたWebページの情報を取得
$referer = $_SERVER['HTTP_REFERER'];

ここで登場している$_SERVER[‘HTTP_REFERER’]には、PHPのスーパーグローバル変数の１つでリファラが格納されています。

次に、取得したリファラーからドメイン部分を取得します。

// リファラからホスト名（ドメイン名）を取得
$referer_host = parse_url($referer)['host'];

parse_url()は引数で渡したURLを解析し、連想配列形式で返す関数です。上記の例では配列名に[’host’]を指定することで、リファラー（URL）からホスト名＝ドメイン名を取得しています。

次に自分のサイトのドメインを設定し、リファラーから取得したホスト名と一致するかどうかを検証、正常ならば正規の処理を行い、不一致ならば不正リクエスト用の処理を実行します。

// 自分のサイトのドメインを設定
$host_url = 'example.com';

if(stristr($referer_host, $host_url)){
	// 正常なアクセスだった際の処理
} else {
	// 不正アクセスだった場合の処理
  // （例）エラーページを返すなど
}

stristr()は、大文字と小文字を区別せずに、指定文字列内においてキーワードが現れる場所を返す関数です。上記のコードではstristr()を利用して、リファラーのホスト名部分に自分のサイトのドメインが含まれているかを検証しています。
※ちなみに関数名が似ているものにstrstr()がありますが、こちらは大文字小文字を区別する仕様になっているため、使用時には注意して下さい。

ケケンタ

リファラーを上手く利用することでCSRF攻撃を防げる確率を高めることが可能です。
トークンを利用した対策と組み合わせることでより安全性の高いWebアプリケーションを開発しましょう。

ここでご紹介した対策がすべてというわけではありません。
さらに詳細な対策を知りたいという方は、IPAの「安全なウェブサイトの作り方」をご参照下さい。
https://www.ipa.go.jp/security/vuln/websecurity/about.html

まとめ

CSRF攻撃の流れや被害・影響、そしてPHPでアプリ開発する際の対策方法についてお伝えをしてきました。

今回はお伝えしませんでしたが、CSRF対策についてはこの他にも

二要素認証を導入する
リクエストを処理する直前にユーザにパスワード入力を促す

などの方法もあり、これらを導入することでより安全性の高いWebアプリ開発が可能となります。

今回取り上げたCSRF以外にも考慮すべき攻撃手法がいくつも存在します。

それらすべてにセキュリティ対策を講じていくことは大きな労力を伴いますが、ユーザに安心して利用してもらうためにも１つ１つ実践していくことが大切です。

ケケンタ

フレームワークを利用すれば効率的なセキュリティ対策も可能となります！

他のセキュリティ攻撃の解説記事も作成していくため、ご参考にしていただければと思います。

ケケンタ

最後に、僕がセキュリティ対策を学ぶ際に利用した書籍をご紹介させていただきます。