Upgrade to Pro — share decks privately, control downloads, hide ads and more …

それ、本当に安全? ファイルアップロードで見落としがちなセキュリティリスクと対策

Sponsored · Your Podcast. Everywhere. Effortlessly. Share. Educate. Inspire. Entertain. You do you. We'll handle the rest.
Avatar for ikechi ikechi
January 07, 2026
Programming
4.4k
7

それ、本当に安全? ファイルアップロードで見落としがちなセキュリティリスクと対策

2026年1月9日〜10日に開催されたBuriKaigiの登壇資料

Avatar for ikechi

ikechi

January 07, 2026

More Decks by ikechi

See All by ikechi
非エンジニア職からZOZOへ 〜登壇がキャリアに与えた影響〜
Avatar for ikechi penpeen
0
540
RailsでDDDは使えるのか?
Avatar for ikechi penpeen
0
56
VibeCodingで決済機能を改修〜失敗から学んだこと〜
Avatar for ikechi penpeen
0
120
議事録の要点整理を自動化! サーバレス Bot 構築術
Avatar for ikechi penpeen
3
2.5k
NotebookLMを使ってインプット効率を爆上げしよう
Avatar for ikechi penpeen
1
140

Other Decks in Programming

See All in Programming
JOAI2026 1st solution - heron0519 -
Avatar for heron0519 heron0519
0
140
SkillがSkillを生む:QA観点出しを自動化した
Avatar for sontixyou sontixyou
6
3.4k
AIエージェントで業務改善してみた
Avatar for takumi taku271
0
530
感情を設計する
Avatar for nakamichi ichimichi
5
1.5k
10年分の技術的負債、完済へ ― Claude Code主導のAI駆動開発でスポーツブルを丸ごとリプレイスした話
Avatar for nero15 takuya_houshima
0
2.6k
LM Linkで(非力な!)ノートPCでローカルLLM
Avatar for 瀬尾佳隆 seosoft
0
500
ふりがな Deep Dive try! Swift Tokyo 2026
Avatar for watura watura
0
220
HTML-Aware ERB: The Path to Reactive Rendering @ RubyKaigi 2026, Hakodate, Japan
Avatar for Marco Roth marcoroth
0
140
〜バイブコーディングを超えて〜 チームで実験し続けたAI駆動開発
Avatar for Toranosuke Minamikawa tigertora7571
0
110
Coding as Prompting Since 2025
Avatar for Jimmy Moon ragingwind
0
830
「話せることがない」を乗り越える 〜日常業務から登壇テーマをつくる思考法〜
Avatar for ShoheiMitani shoheimitani
4
810
AI時代のPhpStorm最新事情 #phpcon_odawara
Avatar for yusuke yusuke
0
190

Featured

See All Featured
Sharpening the Axe: The Primacy of Toolmaking
Avatar for Bryan Cantrill bcantrill
46
2.8k
Redefining SEO in the New Era of Traffic Generation
Avatar for Szymon Słowik szymonslowik
1
280
Templates, Plugins, & Blocks: Oh My! Creating the theme that thinks of everything
Avatar for Michelle Schulp Hunt marktimemedia
31
2.8k
SEO for Brand Visibility & Recognition
Avatar for Aleyda Solis aleyda
0
4.5k
How to build an LLM SEO readiness audit: a practical framework
Avatar for Nick Samuel nmsamuel
1
710
Bash Introduction
Avatar for André Augusto Costa Santos 62gerente
615
210k
The Straight Up "How To Draw Better" Workshop
Avatar for Dennis Kardys denniskardys
239
140k
Product Roadmaps are Hard
Avatar for C. Todd Lombardo iamctodd
PRO
55
12k
Avoiding the “Bad Training, Faster” Trap in the Age of AI
Avatar for Mike Taylor tmiket
0
130
Mobile First: as difficult as doing things right
Avatar for Swwweet swwweet
225
10k
Bridging the Design Gap: How Collaborative Modelling removes blockers to flow between stakeholders and teams @FastFlow conf
Avatar for Kenny Baas-Schwegler baasie
0
510
The innovator’s Mindset - 
Leading Through an Era of Exponential Change - McGill University 2025
Avatar for Jean-Marc De Jonghe jdejongh
PRO
1
160

Transcript

  1. 1 それ、本当に安全? 
 ファイルアップロードで見落としがち なセキュリティリスクと対策 ~ 2026年01月10日 BuriKaigi ~

  2. 池上 寛登(ikechi) ⾃⼰紹介 SUZURI‧minne事業部 Web Engineer X: penpeenpen GitHub: PenPeen

  3. 3 • プロフィール画像 • 動画‧⾳声ファイル • CSV形式の⼀括登録機能 ファイルのアップロード機能について minne の画像アップロード機能

  4. • 拡張⼦をチェックしているから⼤丈夫...! • Content-Typeを⾒てるから⼤丈夫...! 4 セキュリティ対策、⼤丈夫? 本当にそれだけで大丈夫かな?

  5. サイバー攻撃は年々増加傾向... 引⽤: https://blog.checkpoint.com/research/a-closer-look-at-q3-2024-75-surge-in-cyber-attacks-worldwide/ • 2024年3Q 企業へのサイバー攻撃数は過去最⾼を記録(1,876件) • 2023年の同時期と⽐較して75%増加

  6. 1. ファイルアップロードに潜む脅威 2. 「危険なファイルアップロード」のデモ 3. セキュアな実装のベストプラクティス アジェンダ

  7. ファイルアップロードに潜む脅威 7

  8. 8 ファイルアップロードに潜む脅威 MIME type spoofing Remote Code Execution (RCE) 蓄積型XSS

    無制限ファイルアップロード攻撃 パストラバーサル攻撃 画像処理ライブラリの脆弱性悪用 ファイルインクルージョン攻撃 WebShell アップロード Polyglot File Attack メタデータインジェクション NULLバイト攻撃

  9. • 概要: ブラウザがファイルの内容からMIMEタイプを推測する挙動 • 危険性: MIMEタイプを偽装した悪意のあるファイルがスクリプト として実⾏される可能性 9 MIME Sniffingによる脆弱性

  10. • 概要: 攻撃者が任意のコードをサーバー上で実⾏できる脆弱性 • 危険性: 悪意あるコードの実⾏ データベース情報の窃取、システム破壊、侵⼊の踏み台利⽤ ※ 最も深刻な被害が⽣まれやすい 10

    Remote Code Execution (RCE)

  11. 11 パストラバーサル攻撃 • 概要: 攻撃者が意図的に細⼯したファイル名やパスを使⽤し、想定 外の場所にファイルを保存させたり、システムの重要なファイル を上書きしたりする攻撃 • 危険性: 設定ファイルの改ざん、ファイル配置によるコード実⾏

  12. 12 画像処理ライブラリの脆弱性悪⽤ • 概要: 画像処理ライブラリ(ImageMagick、libpng…)の脆弱性を悪 ⽤した攻撃を⾏う。 • 危険性: サーバー上で任意のコードが実⾏される サービス拒否(DoS)

  13. 13 Polyglot File Attack • 概要: 複数のファイル形式として同時に解釈可能なファイルを作成 セキュリティチェックを回避する攻撃⼿法 • 危険性:

    XSS、リモートコード実⾏、サーバー侵害

  14. デモンストレーション 14

  15. • Content-Typeを偽装して、HTMLをアップロード • ファイルを開くとスクリプトが実⾏ (XSS攻撃: Cookie / Sessionの漏洩) 15 MIME

    Sniffing デモンストレーション Demonstration

  16. 16 RCE デモンストレーション Demonstration • ファイル名に任意のコマンドを埋め込みアップロード • コマンドが実⾏されてしまう(RCE)

  17. 17 パストラバーサル デモンストレーション Demonstration • ファイル名に「../../logo.png」のようなパス操作⽂字 列を含める • 意図したディレクトリの外にファイルが保存され、重 要なシステムファイルが上書きされてしまう

  18. 実装のベストプラクティス 18

  19. • フロントエンドでできることは「補助的な対策」のみ • 根本対応にはサーバーサイドの対策が必須! 19 前提

  20. • マジックバイトでのファイル検証 • 拡張⼦チェックは許可⽅式にする • 正規表現による検証は回避可能なパターンが⽣じやす いため、完全⼀致や、RFC標準仕様に準拠した検証 • ライブラリを⽤いて、ファイル名やMIMEタイプを安全 な形式に正規化‧サニタイズする

    20 厳密な検証とサニタイゼーション

  21. 21 X-Content-Type-Options を指定する • ブラウザによる⾃動的なContent-Type推測を防⽌し、 サーバーが指定したContent-Typeを厳密に適⽤させる • 攻撃者がアップロードしたファイルを意図しない形式 として実⾏させる攻撃を防⽌する

  22. 22 ファイル配信⽤のドメインを分離する • ファイル配信を⾏うドメインを分離する • アプリケーションドメイン(google.com) • ファイル配信ドメイン(googleusercontent.com) • XSSなどの脆弱性が発⽣した場合でも、攻撃者がセッ

    ションCookieや認証情報を窃取することが困難にな り、被害範囲を最⼩限に抑えられる

  23. • ディレクトリでのスクリプト実⾏権限を無効化 • 画像処理ライブラリを最新に保つ • ウイルススキャンの実施 23 サーバー環境の保護

  24. まとめ 24

  25. 適切なセキュリティ対策を⾏い 安⼼‧安全なシステム開発を、実現しよう! 25

  26. 脆弱性体験アプリケーションをGitHubで公開しています。 26 デモンストレーションコード

  27. • The Web Application Hacker's Handbook • 体系的に学ぶ 安全なWebアプリケーションの作り⽅ 第2版

    27 参考⽂献

  28. ご静聴ありがとうございました 28 \\ エンジニア採⽤強化中!! ∕∕ 気になる⽅は登壇メンバーまで! @doskoi64 / @yukyan_p /

    @penpeen