え？ PHPファイルを登録できるのはまずいでしょ…… Webアプリの「アップロード機能」に潜む“あるある”ワナ：“典型的やられサイト”で学ぶセキュリティのワナ（1/3 ページ）

[谷井将人，ITmedia]

EGセキュアソリューションズ取締役CTOの徳丸浩さん

　ネット上で商売するのが当たり前な時代。自社でWebサイトやWebアプリを抱える企業も相当な数になっている。そこでインシデントが発生すれば信用、ブランド、収益……失うものは計り知れない。

　本連載では情報セキュリティの専門家・徳丸浩さんが制作した脆弱性診断実習用のWebアプリ「BadTodo」を題材に、ストーリー形式でWebアプリ制作に潜む“ワナ”について学んでいく。

　登場人物は全て架空の存在だが、ワナは全て現実にあり得るもの。せりふは徳丸さんの監修の下制作した。

• カクーノ株式会社：Webアプリ開発を手掛ける企業。本記事に登場する企業・団体及び人物は全て架空の存在である。
• 荒井考人（あらいこうと）：入社したばかりの新人プログラマー。基本的なプログラミングスキルはあるが、情報セキュリティに関する知識は豊富とはいえず、荒いコードを書きがち。今は研修でWebアプリ「ToDoリスト」を作っている。
• 上野司（うえのつかさ）：荒井考人の上司。指導役として荒井のコードにツッコミを入れてくれる。荒井が研修でWebアプリを構築するに当たり、データベース周辺など前提の部分はすでに組んでいる。

---

──ある日

上野　荒井君！　前回で認可制御までできたし、いよいよ研修も大詰めになってきたね。

荒井　上野さん、お疲れさまです。本体の機能は結構実装できてきましたし、あとちょっと気を引き締めていければと思います。

上野　いい心掛けだね。気を抜いたところに脆弱性も現れるからね。で、今回作るのはファイルのアップロード・ダウンロードの部分だよ。

荒井　アイコン画像のアップロードとか予定一覧のダウンロードとか、そういう機能ですね。

アップロード画面

上野　そうだね。単純そうに見えるけど、これもまたいろんなリスクを想定しておかないと、攻撃者に付け入る隙を与えてしまうから、しっかりやっていこう。

荒井　頑張ります！

──しばらくして……

荒井　上野さん、できました。確認お願いします。予定の新規追加ページに、ファイルを添付する機能（アップロード）を付けたのが大きな更新箇所ですね。

上野　よし。見ていこうか。