ディレクトリトラバーサル 【directory traversal】 パストラバーサル / path traversal
概要
ディレクトリトラバーサル(directory traversal)とは、コンピュータシステムへの攻撃手法の一つで、ファイル名を扱うようなプログラムに対して特殊な文字列を送信することにより、通常はアクセスできないファイルやディレクトリ(フォルダ)の内容を取得する手法。Webアプリケーションなどで、パラメータとして外部からファイル名などの指定を受け付けるような場合に、その文字列の取り扱いに問題があると攻撃対象となる。
オペレーティングシステム(OS)の多くはファイルやディレクトリの所在を記述するパス(path)の記法の一部として、現在のディレクトリ(UNIX系OSやWindowsなどでは「.」)や一階層上の親ディレクトリ(同「..」)、最上位ディレクトリ(先頭に「/」や「¥」)などを意味する特殊な記号の組み合わせが定められている。
攻撃者はこれを悪用し、プログラムに対してディレクトリ階層を移動するようなパスを与えることにより、開発者の想定外の場所にあるファイルやディレクトリへのアクセスを行う。パスワードや個人情報など秘匿されるべき情報が詐取されたり、システム設定の記録されたファイルが改竄・削除されシステム環境が破壊されることもある。
(2019.8.23更新)
関連用語
他の辞典による解説 (外部サイト)
- ウィキペディア 「ディレクトリトラバーサル」
- SOMPO CYBER SECURITY サイバーセキュリティ用語集 「ディレクトリトラバーサル」
- ESETマルウェア情報局 キーワード事典 「ディレクトリトラバーサル」
- サイバーセキュリティ.com コラム 「ディレクトリトラバーサル」
- 東京海上日動 Tokyo Cyber Port 用語集 「ディレクトリトラバーサル」
- ITパスポート用語辞典 「ディレクトリトラバーサル」
- JavaA2Z 「ディレクトリトラバーサル」
- マンガで分かるプログラミング用語辞典 「ディレクトリトラバーサル」
- サイバー攻撃大辞典 「ディレクトリトラバーサル」
- WhatIs.com (英語) 「directory traversal」
共有ボタンをタップ