資料請求リストに製品が追加されていません。


IT製品の比較サイト|ITトレンド
ITトレンドNo.1ヘッダー

資料請求リスト

0件
  • ホーム
  • 製品を探す
  • ランキングから探す
  • 記事を読む
  • はじめての方へ
  • 掲載について
  • ITトレンドEXPO
  1. IT製品 比較TOP
  2. その他のセキュリティ
  3. 暗号化ソフト
  4. 暗号化ソフトの関連記事一覧
  5. 「Zip Slip」とは?仕組みや対処法についてわかりやすく解説!

「Zip Slip」とは?仕組みや対処法についてわかりやすく解説!

2023年01月17日 最終更新
暗号化ソフトの製品一覧
Twitterでツイートする
Facebookでシェアする
Pocketで後で読む
「Zip Slip」とは?仕組みや対処法についてわかりやすく解説!

Zip Slipとは何なのでしょうか。セキュリティについて調べる中で疑問を持った人は多いでしょう。また、この脅威からデータを守る方法も知りたいはずです。

この記事ではZip Slipの概要と仕組み、そしてそれを悪用した攻撃への対処法を紹介します。自社のセキュリティ体制を整える参考にしてください。

\ 無料で資料を手に入れる!/
暗号化ソフトの製品をまとめて資料請求! play_circle_outline
暗号化ソフト人気ランキング | 今週のランキング第1位は?

Zip Slipとは

Zip Slipの概要を見ていきましょう。

Zipファイルを用いた、プログラムにおける脆弱性のこと

Zip Slipとは、Zipファイルを始めとしたアーカイブファイルの脆弱性のことです。この脆弱性を利用すると、攻撃対象のファイルを勝手に書き換えたり置き換えたりできるようになります。

特に、アプリケーションやシステムファイルなど、実行される可能性の高いファイルを置き換えられると危険です。悪意あるファイルに置き換えられたことに気づかずに、コードを実行してしまう可能性もあります。

ただし、Zip Slip は Zip ファイルに問題があるのではありません。さまざまな言語やソフトウェアの脆弱性に直接の原因があります。たとえば、JavaScriptやRubyなどでもこの脆弱性が見つかっています。あまりに広範囲に普及してしまった脆弱性であるため、修正が困難です。

ディレクトリトラバーサルの一形態

ディレクトリトラバーサルとは、不正な手段でファイルにアクセスするサイバー攻撃です。トラバーサルは「横断」という意味で、ディレクトリを跨いでファイルを攻撃することからディレクトリトラバーサルと言われます。

ディレクトリ(フォルダ)を指定するには、絶対パスと相対パスの2種類の方法があります。このうち、ディレクトリトラバーサルで使われるのは相対パスです。

プログラムに相対パスでファイルを指定すると、プログラムは受けた指示を処理します。この相対パスの処理過程にZip Slipがあり、それを悪用してファイルにアクセスするのがディレクトリトラバーサルです。

Zip Slipを利用した攻撃の仕組み

では、Zip Slipを利用した攻撃の仕組みを見ていきましょう。

始めに、攻撃者はZipファイルの中に逸脱するファイルを格納します。ここでは、その逸脱するファイルをファイルXとしましょう。

ファイルXを格納したZipファイルを攻撃対象のディレクトリにアップロードし展開します。すると、ファイルXは本来の展開場所よりも上の階層に展開される(逸脱する)のです。こうすることで、ファイルXは別のファイルを上書き(攻撃)できます。

このとき、ファイルXには「../」というパスが使われます。これは相対パスに使うもので、現在の階層より1つ上の階層を示す記号です。この記号で、本来の抽出場所とは別の位置を指定できるのです。

攻撃したい場所が明確であればそれを指定できますが、そうでなくても大量に「../」を使えば総当たり的に攻撃することが可能です。

Zip Slipを利用した攻撃への対処法

Zip Slipの脅威を防ぐには、どのような対策をすればよいのでしょうか。

ソフトウェアアップデートを行う

Zip Slipは多くのソフトウェアの脆弱性として存在します。しかし、それらはソフトウェアのアップデートを行うことで解消します。

2018年6月5日にZip Slipの情報が公開されてから、Zip Slipの影響を受けるソフトウェアベンダーがアップデートを配布してきました。すでにほとんどのベンダーが対応を終えていると言います。

どのソフトウェアが影響を受け修正されたのかは、セキュリティ会社 Snykがリストを発表しているため、そちらを確認しましょう。

このように、Zip Slipはほかの脆弱性と同様、ソフトウェアアップデートで解消します。普段からセキュリティを意識し、こまめにアップデートを行っているのであれば、特別な心配は必要ありません。

参照:snyk/zip-slip-vulnerability: Zip Slip Vulnerability (Arbitrary file write through archive extraction)|GitHub

脆弱性診断を行う

利用しているソフトウェアに脆弱性が残っていないか心配な場合は、脆弱性診断を行いましょう。

脆弱性診断はその名のとおり、ソフトウェアに脆弱性がないかチェックする作業です。ソフトウェア開発会社やセキュリティソフトベンダーが提供しているため、それを利用しましょう。

具体的には、プログラムによる自動テストや、エンジニアによる手動テストがあります。サービスによっては、診断結果をもとにセキュリティ対策を提案してもらえることもあります。Zip Slipに限らず、自社のソフトウェアの安全性を高める有効な手段として知っておきましょう。

Zip Slipについて理解し、セキュリティへの意識を高めよう

Zip Slipとは、Zipなどのアーカイブファイルの処理過程に存在する脆弱性のことです。サイバー攻撃の1つであるディレクトリトラバーサルに悪用されます。

アーカイブファイルは中身を展開する位置を自由に設定できます。相対パスで位置指定を行うことで、本来はアクセスできない場所にファイルを展開可能です。

ソフトアップデートや脆弱性診断で対処できます。以上を踏まえ、セキュリティの見直しを行いましょう。

\ 無料で資料を手に入れる!/
暗号化ソフトの製品をまとめて資料請求! play_circle_outline
暗号化ソフト人気ランキング | 今週のランキング第1位は?
この記事を読んだ人は、こちらも参考にしています
最新ビジネス書を手軽に学べる
著者出演の動画メディア
電球
仕事で活かせるビジネスノウハウが
動画で学べる
電球
たった10分で学べるビジネス書の
動画解説が見放題
チラヨミロゴ bizplay動画ページリンク
動画を見てみる arrow
こちらもおすすめ!
暗号化ソフト 選び方ガイド
電球 製品を選ぶときのポイントがわかる!
電球 どんな企業が導入すべきかがわかる!
お役立ち資料ダウンロード
選び方ガイドのダウンロードはこちら arrow

このカテゴリーに関連する記事

公開鍵・秘密鍵とは?暗号化の仕組みをわかりやすく解説

公開鍵・秘密鍵とは?暗号化の仕組みをわかりやすく解説

暗号化のAES方式とは?ほかの種類との違い・利用方法を解説!

暗号化のAES方式とは?ほかの種類との違い・利用方法を解説!

暗号化とは?仕組み・種類・方法など基礎知識をわかりやすく解説!

暗号化とは?仕組み・種類・方法など基礎知識をわかりやすく解説!

個人情報保護法での暗号化の必要性とは?実施方法や注意点も解説

個人情報保護法での暗号化の必要性とは?実施方法や注意点も解説

RSA暗号とは?仕組みや応用事例を初心者にもわかりやすく解説!

RSA暗号とは?仕組みや応用事例を初心者にもわかりやすく解説!

暗号化の種類・特徴とは?暗号アルゴリズムもわかりやすく解説!

暗号化の種類・特徴とは?暗号アルゴリズムもわかりやすく解説!

ハイブリッド暗号方式とは?仕組みや活用事例をわかりやすく解説!

ハイブリッド暗号方式とは?仕組みや活用事例をわかりやすく解説!

DH(Diffie-Hellman)法とは?概要、仕組みや問題点をわかりやすく解説

DH(Diffie-Hellman)法とは?概要、仕組みや問題点をわかりやすく解説

無料暗号化ソフトおすすめ14選!利用上の注意点を解説

無料暗号化ソフトおすすめ14選!利用上の注意点を解説

初期化ベクトルとは?暗号化で知っておくべき基礎知識を解説!

初期化ベクトルとは?暗号化で知っておくべき基礎知識を解説!

IT製品・サービスの比較・資料請求が無料でできる、ITトレンド。「「Zip Slip」とは?仕組みや対処法についてわかりやすく解説!」というテーマについて解説しています。暗号化の製品導入を検討をしている企業様は、ぜひ参考にしてください。

お役立ち資料ダウンロード こちらをクリック
暗号化
基本情報から選ぶ時のポイント、ITトレンドおすすめの製品情報をまとめてご紹介します。
カテゴリー関連製品・サービス
ペンタセキュリティ株式会社
D'Amo DP
ペンタセキュリティ株式会社
☆☆☆☆☆ ★★★★★
0.0 0件
株式会社スカイネクサス
セキュリティ・ウェアハウス
株式会社スカイネクサス
☆☆☆☆☆ ★★★★★
0.0 0件
株式会社ソフトエイジェンシー
Server-GENERAL
株式会社ソフトエイジェンシー
☆☆☆☆☆ ★★★★★
0.0 0件
ハミングヘッズ株式会社
Security Platform
ハミングヘッズ株式会社
☆☆☆☆☆ ★★★★★
0.0 0件
タレスDISジャパン株式会社
SafeNet トークナイゼーションマネージャー
タレスDISジャパン株式会社
☆☆☆☆☆ ★★★★★
0.0 0件
タレスDISジャパン株式会社
SafeNet ProtectDB
タレスDISジャパン株式会社
☆☆☆☆☆ ★★★★★
0.0 0件
タレスDISジャパン株式会社
タレスHSM シリーズ
タレスDISジャパン株式会社
☆☆☆☆☆ ★★★★★
0.0 0件
タレスDISジャパン株式会社
SafeNet Data Protection On Demand
タレスDISジャパン株式会社
☆☆☆☆☆ ★★★★★
5.0 1件
タレスDISジャパン株式会社
CipherTrust Manager
タレスDISジャパン株式会社
☆☆☆☆☆ ★★★★★
4.0 2件
タレスDISジャパン株式会社
CipherTrust Cloud Key Manager(CCKM)
タレスDISジャパン株式会社
☆☆☆☆☆ ★★★★★
0.0 0件
ペンタセキュリティ株式会社
MyDiamo
ペンタセキュリティ株式会社
☆☆☆☆☆ ★★★★★
0.0 0件
カテゴリー資料請求ランキング
12月4日(月) 更新
第1位
  • Oracle/Microsoft SQL Server専用のDB暗号化ソリューション D'Amo DP
  • ペンタセキュリティ株式会社
第2位
  • PCIDSS 準拠と情報漏洩対策【SafeNet トークナイゼーションマネージャー】
  • タレスDISジャパン株式会社
第3位
  • HSM(ハードウェアセキュリティモジュール)タレスHSM シリーズ
  • タレスDISジャパン株式会社
4位以下のランキングはこちら
ログイン ログイン
新規会員登録 新規会員登録
ITトレンドへの製品掲載・広告出稿はこちらから
新着記事
  • RSA暗号とは?仕組みや応用事例を初心者にもわかりやすく解説!
    この記事ではRSA暗号の概要から暗号化と復号の流れ...
  • TLSとは?SSLとの違いや概要、導入方法をわかりやすく解説!
    この記事では、TLSの概要やSSLとの違い、導入の流...
  • レインボーテーブルとは?攻撃の仕組みや対策方法をわかりやすく解説
    この記事では、レインボーテーブルの概要や攻撃の...
  • 暗号化ソフト14種を比較!導入に失敗しない選び方も解説!
    近年では、どのような企業でもセキュリティ対策を...
  • 公開鍵・秘密鍵とは?暗号化の仕組みをわかりやすく解説
    この記事では、暗号化に使われる公開鍵・秘密鍵の...
  • 暗号化の基本知識「平文」とは?初心者向けに重要性などを解説!
    暗号化について勉強していると、「平文」という言...
  • ハイブリッド暗号方式とは?仕組みや活用事例をわかりやすく解説!
    ハイブリッド暗号方式はどのような暗号方式なので...
  • 暗号化の種類・特徴とは?暗号アルゴリズムもわかりやすく解説!
    暗号化の種類には、「共通鍵暗号方式(処理速度が...
  • 無料暗号化ソフトおすすめ14選!利用上の注意点を解説
    この記事では、無料で利用できる暗号化ソフトを紹...
  • クラウドストレージ対応の暗号化ソフト18選!選び方も解説!
    データやファイルを暗号化する際には、クラウド型...
ページトップへ
ITトレンドについて
ITトレンドとは|
ご利用規約|
レビューガイドライン|
プライバシーポリシー|
クッキーポリシー|
運営会社|
サイトマップ|
お問い合わせ
IT製品を探す
製品を探す |
ランキングから探す |
専門家一覧
IT製品を知る
用語集
IT製品を掲載する
掲載について
関連サービス・サイト
List Finder |
Urumo! |
bizplay |
Sales Doc |
Matchup

Copyright (C) 2023 IT Trend All Rights Reserved.

暗号化ソフトの製品をまとめて資料請求
0件の製品が資料請求リストにあります。
資料請求リストをリセットします。
よろしいですか?