Upgrade to Pro — share decks privately, control downloads, hide ads and more …

それ、本当に安全? ファイルアップロードで見落としがちなセキュリティリスクと対策

Sponsored · Your Podcast. Everywhere. Effortlessly. Share. Educate. Inspire. Entertain. You do you. We'll handle the rest.
Avatar for ikechi ikechi
January 07, 2026
Programming
4.6k
7

それ、本当に安全? ファイルアップロードで見落としがちなセキュリティリスクと対策

2026年1月9日〜10日に開催されたBuriKaigiの登壇資料

Avatar for ikechi

ikechi

January 07, 2026

More Decks by ikechi

See All by ikechi
非エンジニア職からZOZOへ 〜登壇がキャリアに与えた影響〜
Avatar for ikechi penpeen
0
760
RailsでDDDは使えるのか?
Avatar for ikechi penpeen
0
63
VibeCodingで決済機能を改修〜失敗から学んだこと〜
Avatar for ikechi penpeen
0
120
議事録の要点整理を自動化! サーバレス Bot 構築術
Avatar for ikechi penpeen
3
2.6k
NotebookLMを使ってインプット効率を爆上げしよう
Avatar for ikechi penpeen
1
140

Other Decks in Programming

See All in Programming
ふつうのFeature Flag実践入門
Avatar for irof irof
7
3.7k
PHPで使える日時の表現と、その知り方 #frontend_phpcon_do
Avatar for hideki kinjyo o0h
PRO
0
230
技術記事、AIに書かせるか、自分で書くか? 〜それでも私が自分の手で書く理由〜 / #QiitaConference
Avatar for Junichi Ito jnchito
2
1.3k
Agentic UI
Avatar for Manfred Steyer manfredsteyer
PRO
0
130
AIとASP.NET Coreで雑Webアプリを作った話
Avatar for Mayuki Sawatari mayuki
0
490
気づいたらRubyで100作品 ー クリエイティブコーディングが生活の一部になるまで / 100 Ruby Sketches Later: How Creative Coding Became Part of My Life
Avatar for chobishiba chobishiba
3
560
AI 時代のソフトウェア設計の学び方
Avatar for 増田 亨 masuda220
PRO
29
12k
タクシーアプリ『GO』の バックエンド開発のおける AI利活用と若者のすべて
Avatar for Kazuhiko Yamashita pyama86
3
1.9k
Make SRE Operations Easier with Azure SRE Agent
Avatar for KAMEGAWA Kazushi kkamegawa
0
5.2k
スマートグラスで並列バイブコーディング
Avatar for Hayami Shuhei hyshu
0
120
Swiftのレキシカルスコープ管理
Avatar for kntk kntkymt
0
220
OSもどきOS
Avatar for Sora Arakawa arkw
0
480

Featured

See All Featured
Measuring Dark Social's Impact On Conversion and Attribution
Avatar for Stephen Akadiri stephenakadiri
2
210
Leading Effective Engineering Teams in the AI Era
Avatar for Addy Osmani addyosmani
9
2k
技術選定の審美眼(2025年版) / Understanding the Spiral of Technologies 2025 edition
Avatar for Takuto Wada twada
PRO
118
120k
Technical Leadership for Architectural Decision Making
Avatar for Kenny Baas-Schwegler baasie
3
400
Future Trends and Review - Lecture 12 - Web Technologies (1019888BNR)
Avatar for Beat Signer signer
PRO
0
3.6k
How To Speak Unicorn (iThemes Webinar)
Avatar for Michelle Schulp Hunt marktimemedia
1
480
Stewardship and Sustainability of Urban and Community Forests
Avatar for Eric Wiseman pwiseman
0
220
How to Ace a Technical Interview
Avatar for Jacob Kaplan-Moss jacobian
281
24k
End of SEO as We Know It (SMX Advanced Version)
Avatar for Michael King ipullrank
3
4.2k
Optimising Largest Contentful Paint
Avatar for Harry Roberts csswizardry
37
3.7k
Principles of Awesome APIs and How to Build Them.
Avatar for Keavy McMinn keavy
128
17k
Groundhog Day: Seeking Process in Gaming for Health
Avatar for Sebastian Deterding codingconduct
0
200

Transcript

  1. 1 それ、本当に安全? 
 ファイルアップロードで見落としがち なセキュリティリスクと対策 ~ 2026年01月10日 BuriKaigi ~

  2. 池上 寛登(ikechi) ⾃⼰紹介 SUZURI‧minne事業部 Web Engineer X: penpeenpen GitHub: PenPeen

  3. 3 • プロフィール画像 • 動画‧⾳声ファイル • CSV形式の⼀括登録機能 ファイルのアップロード機能について minne の画像アップロード機能

  4. • 拡張⼦をチェックしているから⼤丈夫...! • Content-Typeを⾒てるから⼤丈夫...! 4 セキュリティ対策、⼤丈夫? 本当にそれだけで大丈夫かな?

  5. サイバー攻撃は年々増加傾向... 引⽤: https://blog.checkpoint.com/research/a-closer-look-at-q3-2024-75-surge-in-cyber-attacks-worldwide/ • 2024年3Q 企業へのサイバー攻撃数は過去最⾼を記録(1,876件) • 2023年の同時期と⽐較して75%増加

  6. 1. ファイルアップロードに潜む脅威 2. 「危険なファイルアップロード」のデモ 3. セキュアな実装のベストプラクティス アジェンダ

  7. ファイルアップロードに潜む脅威 7

  8. 8 ファイルアップロードに潜む脅威 MIME type spoofing Remote Code Execution (RCE) 蓄積型XSS

    無制限ファイルアップロード攻撃 パストラバーサル攻撃 画像処理ライブラリの脆弱性悪用 ファイルインクルージョン攻撃 WebShell アップロード Polyglot File Attack メタデータインジェクション NULLバイト攻撃

  9. • 概要: ブラウザがファイルの内容からMIMEタイプを推測する挙動 • 危険性: MIMEタイプを偽装した悪意のあるファイルがスクリプト として実⾏される可能性 9 MIME Sniffingによる脆弱性

  10. • 概要: 攻撃者が任意のコードをサーバー上で実⾏できる脆弱性 • 危険性: 悪意あるコードの実⾏ データベース情報の窃取、システム破壊、侵⼊の踏み台利⽤ ※ 最も深刻な被害が⽣まれやすい 10

    Remote Code Execution (RCE)

  11. 11 パストラバーサル攻撃 • 概要: 攻撃者が意図的に細⼯したファイル名やパスを使⽤し、想定 外の場所にファイルを保存させたり、システムの重要なファイル を上書きしたりする攻撃 • 危険性: 設定ファイルの改ざん、ファイル配置によるコード実⾏

  12. 12 画像処理ライブラリの脆弱性悪⽤ • 概要: 画像処理ライブラリ(ImageMagick、libpng…)の脆弱性を悪 ⽤した攻撃を⾏う。 • 危険性: サーバー上で任意のコードが実⾏される サービス拒否(DoS)

  13. 13 Polyglot File Attack • 概要: 複数のファイル形式として同時に解釈可能なファイルを作成 セキュリティチェックを回避する攻撃⼿法 • 危険性:

    XSS、リモートコード実⾏、サーバー侵害

  14. デモンストレーション 14

  15. • Content-Typeを偽装して、HTMLをアップロード • ファイルを開くとスクリプトが実⾏ (XSS攻撃: Cookie / Sessionの漏洩) 15 MIME

    Sniffing デモンストレーション Demonstration

  16. 16 RCE デモンストレーション Demonstration • ファイル名に任意のコマンドを埋め込みアップロード • コマンドが実⾏されてしまう(RCE)

  17. 17 パストラバーサル デモンストレーション Demonstration • ファイル名に「../../logo.png」のようなパス操作⽂字 列を含める • 意図したディレクトリの外にファイルが保存され、重 要なシステムファイルが上書きされてしまう

  18. 実装のベストプラクティス 18

  19. • フロントエンドでできることは「補助的な対策」のみ • 根本対応にはサーバーサイドの対策が必須! 19 前提

  20. • マジックバイトでのファイル検証 • 拡張⼦チェックは許可⽅式にする • 正規表現による検証は回避可能なパターンが⽣じやす いため、完全⼀致や、RFC標準仕様に準拠した検証 • ライブラリを⽤いて、ファイル名やMIMEタイプを安全 な形式に正規化‧サニタイズする

    20 厳密な検証とサニタイゼーション

  21. 21 X-Content-Type-Options を指定する • ブラウザによる⾃動的なContent-Type推測を防⽌し、 サーバーが指定したContent-Typeを厳密に適⽤させる • 攻撃者がアップロードしたファイルを意図しない形式 として実⾏させる攻撃を防⽌する

  22. 22 ファイル配信⽤のドメインを分離する • ファイル配信を⾏うドメインを分離する • アプリケーションドメイン(google.com) • ファイル配信ドメイン(googleusercontent.com) • XSSなどの脆弱性が発⽣した場合でも、攻撃者がセッ

    ションCookieや認証情報を窃取することが困難にな り、被害範囲を最⼩限に抑えられる

  23. • ディレクトリでのスクリプト実⾏権限を無効化 • 画像処理ライブラリを最新に保つ • ウイルススキャンの実施 23 サーバー環境の保護

  24. まとめ 24

  25. 適切なセキュリティ対策を⾏い 安⼼‧安全なシステム開発を、実現しよう! 25

  26. 脆弱性体験アプリケーションをGitHubで公開しています。 26 デモンストレーションコード

  27. • The Web Application Hacker's Handbook • 体系的に学ぶ 安全なWebアプリケーションの作り⽅ 第2版

    27 参考⽂献

  28. ご静聴ありがとうございました 28 \\ エンジニア採⽤強化中!! ∕∕ 気になる⽅は登壇メンバーまで! @doskoi64 / @yukyan_p /

    @penpeen