ディレクトリトラバーサル攻撃とは？仕組みや対策・事例をわかりやすく解説

ディレクトリトラバーサル攻撃は、Webアプリケーションのセキュリティを突破し、サーバー上の重要なファイルにアクセスする手法で、企業や組織のデータセキュリティに深刻な影響を及ぼす可能性があります。

この攻撃は、特に情報がデジタル化されビジネスがインターネットに依存するようになった現代において重要性が高まっています。ディレクトリトラバーサル攻撃により、機密情報の漏洩、データの改ざん、さらにはサービスの停止といった深刻な結果を招くことも珍しくありません。
そのため、この攻撃を理解し適切な対策を講じることはすべての企業や組織にとって不可欠です。

本記事では、ディレクトリトラバーサル攻撃の基本的な仕組みを解説し、その影響、対策方法について詳しく紹介します。

ディレクトリトラバーサル攻撃（別名：パストラバーサル攻撃）は、攻撃者がサーバーのセキュリティ制御を迂回して、本来アクセスできないはずのファイルやディレクトリにアクセスする手法です。この攻撃はWebアプリケーションにおいて一般的であり、サーバーのファイルシステムに直接アクセスすることを目的としています。

通常、Webアプリケーションはユーザーがアクセスできるファイルやディレクトリを制限していますが、ディレクトリトラバーサル攻撃では、URLやフォーム入力を通じて特別に構成された文字列（例: “../”）を送信することで、アプリケーションが意図しないファイルやディレクトリにアクセスさせられます。これにより、攻撃者は機密情報を含むファイルを閲覧したり、システムに影響を与える可能性のあるファイルにアクセスしたりすることができます。

• 相対パスの利用: 通常の相対パス記述を悪用して、サーバーのディレクトリ構造を遡ります。
• エンコードを利用した攻撃: URLエンコードやダブルエンコーディングを使ってセキュリティフィルタを迂回します。
• シンボリックリンクの作成: システム上でシンボリックリンクを作成し、制限されたファイルにアクセスします。

ディレクトリトラバーサル攻撃は、以下のような深刻な影響をもたらす可能性があります。

アカウント情報や認証データが保存されたファイルにアクセスされると、攻撃者によるなりすましが発生するリスクがあります。これにより、システムの管理者権限を奪われたり、ユーザーデータが漏洩する危険性があります。

機密情報、顧客データ、社内文書など、保護されているはずのデータが外部に漏れ出す可能性があります。これは企業の評判や顧客の信頼を大きく損ねることにつながります。

攻撃者がサーバー上のファイルにアクセスし、内容を改ざんすることが可能です。これにより、ウェブサイトの改ざん、機能の不具合、さらにはサービス提供停止につながるリスクがあります。

ディレクトリトラバーサル攻撃を防ぐためには、以下のような対策が有効です。

Web Application Firewall（WAF）を導入することで、ディレクトリトラバーサルを含む多様な攻撃からWebアプリケーションを保護することができます。WAFは不正なリクエストを検出し、ブロックする機能を備えています。

Intrusion Detection System（IDS）とIntrusion Prevention System（IPS）は、ネットワークを監視し、不正なアクセスや攻撃を検知、阻止するシステムです。これらのシステムは、ディレクトリトラバーサル攻撃の兆候を早期に検出するのに役立ちます。

情報処理推進機構（IPA）が提供するセキュリティ対策のガイドラインに従い、サーバーとアプリケーションの両方で適切なセキュリティ対策を実施することが重要です。定期的なセキュリティチェックとアップデートが必要です。

サーバー上のファイルやディレクトリに対するアクセス権限を適切に設定することで、不正アクセスを防ぎます。特に重要なファイルやディレクトリには、厳格なアクセス制限を設けることが推奨されます。

ディレクトリトラバーサル攻撃は多くの企業や組織で実際に発生しており、以下にいくつかの事例を紹介します。

Apache Tomcatは過去にディレクトリトラバーサルの脆弱性が発見されました。攻撃者はこの脆弱性を利用して、Webアプリケーションサーバー上の重要な設定ファイルやデータにアクセスし、システムに重大な影響を与えました。

サイボウズのビジネスアプリケーション「Garoon」では、特定の条件下でディレクトリトラバーサル攻撃が可能となる脆弱性が発見されました。この脆弱性を悪用することで、攻撃者はシステム内のファイルに不正にアクセスすることができました。

muhttpdは軽量のHTTPサーバーですが、過去にディレクトリトラバーサルの脆弱性が存在していました。この脆弱性により、攻撃者はWebサーバーのルートディレクトリ外のファイルにアクセスすることができました。

EC-CUBEは日本で広く利用されているEコマースプラットフォームですが、過去にディレクトリトラバーサル攻撃により、システムの脆弱性が露呈しました。この攻撃により、機密情報が漏洩するリスクがありました。

トレンドマイクロのウイルスバスター コーポレートエディションでは、過去にディレクトリトラバーサルの脆弱性が発見されました。この脆弱性を利用した攻撃により、攻撃者はシステム上の重要なファイルにアクセスし、企業のセキュリティを脅かしました。

ディレクトリトラバーサル攻撃は、他の一般的な攻撃手法と比較して以下のような特徴があります。

クロスサイトスクリプティング（XSS）攻撃は、攻撃者がWebアプリケーションに悪意あるスクリプトを注入し、他のユーザーがそのスクリプトを実行することを目的としています。対してディレクトリトラバーサル攻撃は、サーバー上のファイルシステムへの不正アクセスを目的としています。

SQLインジェクション攻撃は、攻撃者がデータベースクエリを介して不正な操作を行う攻撃です。これに対して、ディレクトリトラバーサル攻撃はファイルシステムへのアクセスを目的としており、データベース操作は行いません。

クリックジャッキング攻撃は、攻撃者が透明なレイヤーまたはフレームを用いてユーザーの操作を誤認させることを目的としています。一方で、ディレクトリトラバーサル攻撃はサーバーのファイルシステムへの直接的なアクセスを目的としています。

アクトが提供するEDR+SOCサービス「セキュリモ」は、サイバー攻撃に対してAIでリアルタイム検知し、攻撃内容の可視化と分析内容を報告するPCやサーバーのセキュリティサービスです。弊社SOCチームが、グローバルトップクラスの検知率・防御力を持ったEDR（SentinelOne、Cybereason）のおまかせ運用を実現します。

アクトはSentinelOneとMSSP契約を持つ正式パートナーかつ、国内唯一のIRパートナーであり、 平常時からインシデント対応までお客さま負担をかけることなく、最高レベルのサイバーセキュリティをご提供します。

また、IT導入補助金対象サービスの『データお守り隊』もご提供しております。
EDR＋SOC＋簡易サイバー保険をお手頃価格でパッケージしたサービスです。補助金を申請することで低コストで高度なサイバーセキュリティ対策を実現できます。
ご興味がございましたら下記よりご確認ください。