Upgrade to Pro — share decks privately, control downloads, hide ads and more …

それ、本当に安全? ファイルアップロードで見落としがちなセキュリティリスクと対策

Sponsored · Your Podcast. Everywhere. Effortlessly. Share. Educate. Inspire. Entertain. You do you. We'll handle the rest.
Avatar for ikechi ikechi
January 07, 2026
Programming
7
2.4k

それ、本当に安全? ファイルアップロードで見落としがちなセキュリティリスクと対策

2026年1月9日〜10日に開催されたBuriKaigiの登壇資料

Avatar for ikechi

ikechi

January 07, 2026
Tweet

More Decks by ikechi

See All by ikechi
VibeCodingで決済機能を改修〜失敗から学んだこと〜
Avatar for ikechi penpeen
0
98
議事録の要点整理を自動化! サーバレス Bot 構築術
Avatar for ikechi penpeen
3
2.3k
NotebookLMを使ってインプット効率を爆上げしよう
Avatar for ikechi penpeen
1
110

Other Decks in Programming

See All in Programming
AIによるイベントストーミング図からのコード生成 / AI-powered code generation from Event Storming diagrams
Avatar for nrs nrslib
2
1.7k
Fluid Templating in TYPO3 14
Avatar for Simon Praetorius s2b
0
110
MUSUBIXとは
Avatar for Hisaho nahisaho
0
100
Vibe Coding - AI 驅動的軟體開發
Avatar for Micky Li mickyp100
0
160
Oxlintはいいぞ
Avatar for Yuji Yamaguchi yug1224
5
1.1k
QAフローを最適化し、品質水準を満たしながらリリースまでの期間を最短化する #RSGT2026
Avatar for shibayu36 shibayu36
2
4.1k
Denoのセキュリティに関する仕組みの紹介 (toranoana.deno #23)
Avatar for uki00a uki00a
0
260
gunshi
Avatar for kazupon kazupon
1
140
ゆくKotlin くるRust
Avatar for TATSUNO Yasuhiro exoego
1
210
0→1 フロントエンド開発 Tips🚀 #レバテックMeetup
Avatar for 弁護士ドットコム bengo4com
0
520
.NET Conf 2025 の興味のあるセッ ションを復習した / dotnet conf 2025 quick recap for backend engineer
Avatar for Tomohisa Takaoka tomohisa
0
120
Claude Codeの「Compacting Conversation」を体感50%減! CLAUDE.md + 8 Skills で挑むコンテキスト管理術
Avatar for Kazuki Murahama kmurahama
1
820

Featured

See All Featured
AI Search: Implications for SEO and How to Move Forward - #ShenzhenSEOConference
Avatar for Aleyda Solis aleyda
1
1.1k
GraphQLとの向き合い方2022年版
Avatar for Yosuke Kurami quramy
50
14k
Designing Experiences People Love
Avatar for Jonathan Moore moore
144
24k
A Soul's Torment
Avatar for Nat Ma seathinner
5
2.2k
Testing 201, or: Great Expectations
Avatar for Joseph Mastey jmmastey
46
8k
Beyond borders and beyond the search box: How to win the global "messy middle" with AI-driven SEO
Avatar for David Carrasco davidcarrasco
1
43
The State of eCommerce SEO: How to Win in Today's Products SERPs - #SEOweek
Avatar for Aleyda Solis aleyda
2
9.4k
Max Prin - Stacking Signals: How International SEO Comes Together (And Falls Apart)
Avatar for Tech SEO Connect techseoconnect
PRO
0
73
The Art of Programming - Codeland 2020
Avatar for Erika Heidi erikaheidi
57
14k
Build The Right Thing And Hit Your Dates
Avatar for Maggie C. maggiecrowley
38
3k
Connecting the Dots Between Site Speed, User Experience & Your Business [WebExpo 2025]
Avatar for Tammy Everts tammyeverts
11
810
Applied NLP in the Age of Generative AI
Avatar for Ines Montani inesmontani
PRO
4
2k

Transcript

  1. 1 それ、本当に安全? 
 ファイルアップロードで見落としがち なセキュリティリスクと対策 ~ 2026年01月10日 BuriKaigi ~

  2. 池上 寛登(ikechi) ⾃⼰紹介 SUZURI‧minne事業部 Web Engineer X: penpeenpen GitHub: PenPeen

  3. 3 • プロフィール画像 • 動画‧⾳声ファイル • CSV形式の⼀括登録機能 ファイルのアップロード機能について minne の画像アップロード機能

  4. • 拡張⼦をチェックしているから⼤丈夫...! • Content-Typeを⾒てるから⼤丈夫...! 4 セキュリティ対策、⼤丈夫? 本当にそれだけで大丈夫かな?

  5. サイバー攻撃は年々増加傾向... 引⽤: https://blog.checkpoint.com/research/a-closer-look-at-q3-2024-75-surge-in-cyber-attacks-worldwide/ • 2024年3Q 企業へのサイバー攻撃数は過去最⾼を記録(1,876件) • 2023年の同時期と⽐較して75%増加

  6. 1. ファイルアップロードに潜む脅威 2. 「危険なファイルアップロード」のデモ 3. セキュアな実装のベストプラクティス アジェンダ

  7. ファイルアップロードに潜む脅威 7

  8. 8 ファイルアップロードに潜む脅威 MIME type spoofing Remote Code Execution (RCE) 蓄積型XSS

    無制限ファイルアップロード攻撃 パストラバーサル攻撃 画像処理ライブラリの脆弱性悪用 ファイルインクルージョン攻撃 WebShell アップロード Polyglot File Attack メタデータインジェクション NULLバイト攻撃

  9. • 概要: ブラウザがファイルの内容からMIMEタイプを推測する挙動 • 危険性: MIMEタイプを偽装した悪意のあるファイルがスクリプト として実⾏される可能性 9 MIME Sniffingによる脆弱性

  10. • 概要: 攻撃者が任意のコードをサーバー上で実⾏できる脆弱性 • 危険性: 悪意あるコードの実⾏ データベース情報の窃取、システム破壊、侵⼊の踏み台利⽤ ※ 最も深刻な被害が⽣まれやすい 10

    Remote Code Execution (RCE)

  11. 11 パストラバーサル攻撃 • 概要: 攻撃者が意図的に細⼯したファイル名やパスを使⽤し、想定 外の場所にファイルを保存させたり、システムの重要なファイル を上書きしたりする攻撃 • 危険性: 設定ファイルの改ざん、ファイル配置によるコード実⾏

  12. 12 画像処理ライブラリの脆弱性悪⽤ • 概要: 画像処理ライブラリ(ImageMagick、libpng…)の脆弱性を悪 ⽤した攻撃を⾏う。 • 危険性: サーバー上で任意のコードが実⾏される サービス拒否(DoS)

  13. 13 Polyglot File Attack • 概要: 複数のファイル形式として同時に解釈可能なファイルを作成 セキュリティチェックを回避する攻撃⼿法 • 危険性:

    XSS、リモートコード実⾏、サーバー侵害

  14. デモンストレーション 14

  15. • Content-Typeを偽装して、HTMLをアップロード • ファイルを開くとスクリプトが実⾏ (XSS攻撃: Cookie / Sessionの漏洩) 15 MIME

    Sniffing デモンストレーション Demonstration

  16. 16 RCE デモンストレーション Demonstration • ファイル名に任意のコマンドを埋め込みアップロード • コマンドが実⾏されてしまう(RCE)

  17. 17 パストラバーサル デモンストレーション Demonstration • ファイル名に「../../logo.png」のようなパス操作⽂字 列を含める • 意図したディレクトリの外にファイルが保存され、重 要なシステムファイルが上書きされてしまう

  18. 実装のベストプラクティス 18

  19. • フロントエンドでできることは「補助的な対策」のみ • 根本対応にはサーバーサイドの対策が必須! 19 前提

  20. • マジックバイトでのファイル検証 • 拡張⼦チェックは許可⽅式にする • 正規表現による検証は回避可能なパターンが⽣じやす いため、完全⼀致や、RFC標準仕様に準拠した検証 • ライブラリを⽤いて、ファイル名やMIMEタイプを安全 な形式に正規化‧サニタイズする

    20 厳密な検証とサニタイゼーション

  21. 21 X-Content-Type-Options を指定する • ブラウザによる⾃動的なContent-Type推測を防⽌し、 サーバーが指定したContent-Typeを厳密に適⽤させる • 攻撃者がアップロードしたファイルを意図しない形式 として実⾏させる攻撃を防⽌する

  22. 22 ファイル配信⽤のドメインを分離する • ファイル配信を⾏うドメインを分離する • アプリケーションドメイン(google.com) • ファイル配信ドメイン(googleusercontent.com) • XSSなどの脆弱性が発⽣した場合でも、攻撃者がセッ

    ションCookieや認証情報を窃取することが困難にな り、被害範囲を最⼩限に抑えられる

  23. • ディレクトリでのスクリプト実⾏権限を無効化 • 画像処理ライブラリを最新に保つ • ウイルススキャンの実施 23 サーバー環境の保護

  24. まとめ 24

  25. 適切なセキュリティ対策を⾏い 安⼼‧安全なシステム開発を、実現しよう! 25

  26. 脆弱性体験アプリケーションをGitHubで公開しています。 26 デモンストレーションコード

  27. • The Web Application Hacker's Handbook • 体系的に学ぶ 安全なWebアプリケーションの作り⽅ 第2版

    27 参考⽂献

  28. ご静聴ありがとうございました 28 \\ エンジニア採⽤強化中!! ∕∕ 気になる⽅は登壇メンバーまで! @doskoi64 / @yukyan_p /

    @penpeen