脆弱性を攻撃される童話事例集

ケースD お婆さんの家を狙った攻撃の事例

　むかしむかし、あるところに可愛らしい女の子がおりました。女の子は赤い布でつくったずきんをかぶっていました。そのずきんがとてもよく似合っていたので、女の子はみんなに「赤ずきんちゃん」と呼ばれていました。

　ある日のこと、赤ずきんのおかあさんが、赤ずきんにこう言いました。

「赤ずきん、あなたのおばあさんが病気で寝ているのよ。おみまいに、このかごに入っているぶどう酒とケーキを持っていきなさい」

「はい、おかあさん」

「途中で寄り道をしてはだめですよ。まっすぐおばあさんの家に行くんですよ」

「はい、わかりました」

　赤ずきんはそう返事をして、元気よくでかけました。

　その日はとても天気のいい日でした。日差しはうららかで、ミツバチがぶんぶん飛んでいました。道のそばにはきれいに咲いた花が風に揺れていたり、小川がさらさら流れていたりしました。赤ずきんはあそびたくてうずうずしましたが、おかあさんの言いつけを思い出してがまんしました。

　すると、そこへ狼があらわれました。狼は、

「赤ずきんちゃん、こんにちは。一人でどこへいくの？」

　と赤ずきんに話しかけました。

「おばあさんの家におみまいにいくのよ。このぶどう酒とケーキを持っていくの」

「そうなんだ。でもおみまいに行くんなら、お花を持っていったらいいんじゃないかな？　ほら、あっちにもこっちにもきれいなお花が咲いているよ。きっとおばあさんもよろこぶよ」

「あら、そうね。そうするわ、ありがとう狼さん」

　赤ずきんはさっそくお花をつみはじめました。それを見て、狼はにやりと笑いました。

　お花をつんでいる赤ずきんを後に、狼はまっすぐおばあさんの家に向かいました。そして古いおばあさんの家にあったXSS脆弱性を利用し、赤ずきんがおばあさんの家の扉をあけるとそのまま自分の胃袋に遷移するようにしました。

「あら、いけない。急がなくっちゃ」

　お花つみをやめて、あわてておばあさんの家に行った赤ずきんは、入り口の扉を開けました。するとどうでしょう、不正に埋め込まれたJavascriptにより、赤ずきんは狼の胃の中に遷移してしまいました。

「うっひっひ、うまくいった」

　狼はお腹がいっぱいになったので、そのままぐうぐうと眠ってしまいました。

　そこへ、いつもこのあたりで狩りをしている猟師が通りかかりました。

「おや？　そこに寝ているのは狼か。どうしたんだろう、ものすごく大きな腹をしているぞ」

　猟師は狼のそばへいき、その腹をはさみでジョキジョキ切りました。すると、中からは赤ずきんがでてきました。

「ああ、ありがとう。私、おばあさんの家の扉をあけたと思ったら、いつのまにか狼のお腹のなかにいたの」

「おや、赤ずきん」と、外の騒ぎを聞きつけて、おばあさんが家からでてきました。おばあさんは赤ずきんの話を聞くと、

「むむ、それはきっと狼がXSS脆弱性を利用したんじゃろう。そんな悪い狼はこらしめてやらないと」

　おばあさんは、まず自分の家のXSS脆弱性を直しました。それから、赤ずきんに石をたくさん集めさせ、その石を狼のお腹につめてから針と糸で縫い合わせました。

　しばらくして、狼はやっと目がさめました。

「ううん、よく寝た。おや、なんだかお腹が重いなあ。食べすぎたのかな？　それに喉も乾いた。水を飲みに行こう」

　狼は川に行って、水を飲もうとしました。すると、お腹の石が重すぎて、狼は川の中にじゃぼんとはまり、そしてそのまま浮き上がってきませんでした。

教訓：

入力値を表示する場合必ずエスケープを行うこと。