ディレクトリトラバーサルとは？閲覧禁止を突破するサイバー攻撃

響きがかっこいい単語、今回のテーマはディレクトリトラバーサル！

ディレクトリトラバーサルはハッキング行為の一つで、Webサイトにとっては非常に危険なサイバー攻撃の手法の一つです。

あなたのパソコンや、企業のWebサイトのサーバーには、絶対に人に見せてはいけない企業秘密やお客さんの個人情報が含まれたファイルが保存されています。

ディレクトリトラバーサルは、そんな重要なファイルを狙う恐ろしい攻撃なのです。

今回は、そんなディレクトリトラバーサルが一体どんな手口なのか、なぜ今も被害が絶えないのか、わかりやすく解説していきます。

「ディレクトリトラバーサル」のことば診断

当サイトでは、響きがかっこよく、知的好奇心をくすぐる珠玉の単語を厳選して紹介しています。

今回のテーマ「ディレクトリトラバーサル」について、「身近さ」「レア度」「難解度」をそれぞれ診断してみました！

2.0

ウェブサイトを安全に運営する人にとっては非常に重要な概念ですが、一般の人にはあまり馴染みのない言葉です。

4.0

日常会話で耳にすることはほぼありませんが、ITやセキュリティ関連のニュースで時折登場します。特に「不正アクセス」「情報漏えい」などの事件報道では、この脆弱性が原因になっているケースもあります。

4.0

ある程度パソコン、Webサイト、サーバーなどの知識が必要です。

ディレクトリトラバーサル（Directory Traversal）とは、コンピュータ内のフォルダの階層を横断して、本来見えないはずのファイルを盗み見るサイバー攻撃のことです。

ディレクトリとフォルダはほぼ同じ意味の言葉です。トラバーサル(traversal)は横断するという意味を持つ英単語です。

ディレクトリトラバーサルについて理解するには少しWebサイトやサーバについての知識が必要になります。

Webページや画像といったコンテンツはどこかのコンピュータ（サーバ）に保管されており、そのコンテンツを私達のパソコンやスマートフォンで受信して表示しています

ポイントは、サーバの中には一般公開されていない我々一般人ユーザーが見てはいけないファイルが混在していることです。

サイトのソースコード、社内の業績データ、顧客名簿や個人情報──本来ならアクセスが制限されているはずのファイル群も、私達が閲覧可能なWebページと同じサーバ内に保管されている可能性があるんです。

そうした秘密のファイルは当然一般ユーザーがアクセスできないフォルダに置いてあるはずです。

しかし、Webサイトやサーバの設定が適切にされていないと、ある手法を使うことで一般ユーザーであっても秘密のファイルにアクセスできてしまう可能性があるんです。

ディレクトリトラバーサルは、その“隠し場所”に正規の手続きを踏まずに入り込む攻撃です。

攻撃者は入力欄やURLを巧みに操作して階層を遡り、公開範囲外のファイルを直接読み出したり、場合によっては改ざんしたりします。

設計の小さな見落としによってサーバ内の機密を丸ごと盗まれてしまう可能性がある──これがディレクトリトラバーサルの恐ろしさです。

ディレクトリトラバーサルは古典的な攻撃手法ですが、現在も被害が発生しています。主な理由は以下の通りです。

システム開発時のうっかりミス
- 開発者が「外部からの入力をチェックする仕組み」や「URLでアクセスできる公開範囲の設定」を適切にできていない
既存のシステムが抱える「古い欠陥」
- 長年使われている古いシステムや、更新を怠っているソフトウェアには、この手の「穴」が残っていることが多くそこを狙われます。

もしディレクトリトラバーサルによってシステムに侵入されると、以下のような深刻な被害が発生する可能性があります。

個人情報・機密情報の流出
- サーバーの最も奥まった場所に保存されている、顧客の個人情報、従業員データなどが外部に流出してしまいます。
システムの制御権奪取
- システムを動かすために必要な設定ファイル（パスワードなどの機密情報が書かれたファイル）を読み取られ、そこからさらにシステム全体を乗っ取られる足がかりにされます。
データやサイトの改ざん・削除
- 重要なファイルを勝手に書き換えたり、削除されたりすることで、企業のWebサイト自体が機能停止に陥る危険もあります。