カスタムコード脆弱性ランキング1位は「ディレクトリトラバーサル」–Snyk調査

今回は「カスタムコード脆弱性ランキング1位は「ディレクトリトラバーサル」–Snyk調査」についてご紹介します。

関連ワード （セキュリティ等） についても参考にしながら、ぜひ本記事について議論していってくださいね。

本記事は、ZDNet Japan様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。

　脆弱性管理プラットフォームを提供するSnykは、2022年のカスタムコード脆弱性Top10を発表した。

　これによると、「JavaScript」「Java」「Python」「Go」「PHP」「Ruby」「C#」の7つの開発言語において、2022年によく見られたカスタムコードの脆弱性1位は「ディレクトリトラバーサル」だった。

　ディレクトリトラバーサルは別名パストラバーサルと呼ばれる攻撃手法で、意図したフォルダー以外に格納されているファイルやディレクトリーにアクセスすることを目的とするものだ。

　2位以下は、「クロスサイトスクリプティング」「ハードコードされた認証情報の使用」「オープンリダイレクト」「安全ではないハッシュ」「クロスサイトリクエストフォージェリ（CSRF）」「SQLインジェクション」「“HttpOnly”フラグがないセンシティブなCookie」「機密情報の暗号化通信」「不適切な証明書の有効化」の順となった。

　このランキングは、最先端の機械学習とハイブリッドAIを担当するSnykセキュリティ研究チームの調査を基にしている。Snykは、デジタル化が急速に進んだ現代においてセキュアなアプリケーションを構築し、維持していくためには、独自に開発したアプリケーションのリスク管理方法も含め、最も一般的な脆弱性を常に把握しておくことが重要だとしている。

　2位となったクロスサイトスクリプティングは、インジェクションを利用して、生産性や信頼性の高いウェブサイトに悪意のあるスクリプトを埋め込むウェブサイト攻撃手法。一般的には、悪意のあるブラウザー側のスクリプトを他のユーザーに送信することで行われる。

　3位のハードコードされた認証情報はインバウンド認証、外部コンポーネントへのアウトバウンド通信、および内部データの暗号化などを使用する際、これらのクレデンシャル（認証に必要な情報）をコードに直接記述（ハードコード化）される。しかしこの場合、コード内の複数の場所にクレデンシャルが分散しているために、再展開が必要となったときに、クレデンシャルを変更することが困難になってしまうという。

　4位のオープンリダイレクトの脆弱性は、アプリケーションがリダイレクトを制御したり、別のURLに転送したりすることをユーザーに許可する場合に発生する。

　5位の安全ではないハッシュの脆弱性は、暗号に関連する障害となる。ハッシュは、サインインメッセージやブロックチェーンアプリケーションのパスワードなどに関する秘密の保存と確認によく使用される。