XML外部実体攻撃 【XXE攻撃】 XML External Entity attack

概要

XML外部実体攻撃(XXE攻撃)とは、サイバー攻撃の手法の一つで、XMLの外部実体の仕様を悪用して本来読み取ることができないはずのファイルの内容などを取得する攻撃。

XMLHTMLには「実体」(entityエンティティ)の概念があり、例えばHTML文書中で「©」という表記をうと、その部分が「©」という記号に置き換えられて表示される。この置き換える内容を実体と呼び、HTMLでは規格で定められた文字や記号などしか呼び出せないが、XMLでは文書中で任意に定義することができるようになっている。

XMLでは、<!DOCTYPE> 定義中で <!ENTITY> 要素を記述することで実体を定義することができる。置き換える文字列をその場で定義する「内部実体」(internal entity)のほかに、指定のURLの内容を読み込んで置き換える「外部実体」(external entity)という仕組みが用意されている。

XML外部実体攻撃では外部実体の仕組みを悪用し、外部から不正な外部実体の定義文を送り込む。XMLパース処理をっているサーバなどのローカルファイルの内容を実体として取り込ませ、攻撃者へ送るよう仕向ける。これにより、通常は読み取ることができないはずの場所にあるデータを抜き取ることができる。

(2024.8.1更新)

他の辞典による解説 (外部サイト)

この記事の著者 : (株)インセプト IT用語辞典 e-Words 編集部
1997年8月より「IT用語辞典 e-Words」を執筆・編集しています。累計公開記事数は1万ページ以上、累計サイト訪問者数は1億人以上です。学術論文や官公庁の資料などへも多数の記事が引用・参照されています。
ホーム画面への追加方法
1.ブラウザの 共有ボタンのアイコン 共有ボタンをタップ
2.メニューの「ホーム画面に追加」をタップ
閉じる