2007年7月12日 掲載
Z社ではコミュニティサイトを運営しています。
担当者Nさんは毎日ユーザからの問合せの回答や、コンテンツの追加、ウェブサイト内を巡回して問題がないかチェックをしていました。
「最近、顧客情報の流出とか、情報セキュリティに問題があるってニュースが多いなぁ…。」
「でも、うちはユーザのデータファイルは公開ディレクトリには格納していないから問題ないはずだよね。」
「コミュニティサイトのメンバーから、個人情報が漏れたらしいとの報告が来たぞ!」
「なんで???」
「困ったな。研究所の博士に聞いてみよう。」
「博士、いったいどうしてこんなことになってしまったの?」
「これは、ディレクトリ・トラバーサルのようじゃな。」
“トラバーサル”=“横断(Traversal)”の意味
「しかし、司書に問題があり、図書館内を歩き回れると、
部屋R2からR1を経由して、部屋R3のCという本を貸してくださいと言うと、」
「部屋R2からR1を経由して、部屋R3のCという本を貸してください。」
「あ、貸出禁止の本なのに貸し出してしまった…。」
「そうじゃ。これがディレクトリ・トラバーサルじゃ。」
「図書館の各部屋はディレクトリで、本はそれぞれのファイル、司書はウェブサイト上で動作しているウェブアプリケーションと言えるのじゃ。」
「順調にメンバーが増えていたのに、コミュニティの信頼も失われてしまったかな…。」
「もう二度と問題が起こらんようにちゃんと対策せんとの。」
「対策は、IPAのウェブサイトの脆弱性ごとの対策ページを参照するのじゃ。」