資料請求リストに製品が追加されていません。


IT製品の比較サイト|ITトレンド
ITトレンドEXPO2021Summer

資料請求リスト

資料請求
0件
  • ホーム
  • 製品を探す
  • ランキングから探す
  • 記事を読む
  • セミナーを探す
  • はじめての方へ
  1. IT製品 比較TOP
  2. その他のセキュリティ
  3. 暗号化ソフト
  4. 暗号化ソフトの関連記事一覧
  5. 「Zip Slip」とは?仕組みや対処法についてわかりやすく解説!

「Zip Slip」とは?仕組みや対処法についてわかりやすく解説!

Share
Tweet
Hatena
Pocket
2021年05月13日 最終更新
暗号化ソフトの製品一覧
「Zip Slip」とは?仕組みや対処法についてわかりやすく解説!

Zip Slipとは何なのでしょうか。セキュリティについて調べる中で疑問を持った人は多いでしょう。また、この脅威からデータを守る方法も知りたいはずです。

この記事ではZip Slipの概要と仕組み、そしてそれを悪用した攻撃への対処法を紹介します。自社のセキュリティ体制を整える参考にしてください。

暗号化ソフト の製品を調べて比較
製品をまとめて資料請求! 資料請求フォームはこちら
暗号化ソフトの資料請求ランキングで製品を比較! 今週のランキング第1位は?

Zip Slipとは

Zip Slipの概要を見ていきましょう。

Zipファイルを用いた、プログラムにおける脆弱性のこと

Zip Slipとは、Zipファイルを始めとしたアーカイブファイルの脆弱性のことです。この脆弱性を利用すると、攻撃対象のファイルを勝手に書き換えたり置き換えたりできるようになります。

特に、アプリケーションやシステムファイルなど、実行される可能性の高いファイルを置き換えられると危険です。悪意あるファイルに置き換えられたことに気づかずに、コードを実行してしまう可能性もあります。

ただし、Zip Slip は Zip ファイルに問題があるのではありません。さまざまな言語やソフトウェアの脆弱性に直接の原因があります。たとえば、JavaScriptやRubyなどでもこの脆弱性が見つかっています。あまりに広範囲に普及してしまった脆弱性であるため、修正が困難です。

ディレクトリトラバーサルの一形態

ディレクトリトラバーサルとは、不正な手段でファイルにアクセスするサイバー攻撃です。トラバーサルは「横断」という意味で、ディレクトリを跨いでファイルを攻撃することからディレクトリトラバーサルと言われます。

ディレクトリ(フォルダ)を指定するには、絶対パスと相対パスの2種類の方法があります。このうち、ディレクトリトラバーサルで使われるのは相対パスです。

プログラムに相対パスでファイルを指定すると、プログラムは受けた指示を処理します。この相対パスの処理過程にZip Slipがあり、それを悪用してファイルにアクセスするのがディレクトリトラバーサルです。

Zip Slipを利用した攻撃の仕組み

では、Zip Slipを利用した攻撃の仕組みを見ていきましょう。

始めに、攻撃者はZipファイルの中に逸脱するファイルを格納します。ここでは、その逸脱するファイルをファイルXとしましょう。

ファイルXを格納したZipファイルを攻撃対象のディレクトリにアップロードし展開します。すると、ファイルXは本来の展開場所よりも上の階層に展開される(逸脱する)のです。こうすることで、ファイルXは別のファイルを上書き(攻撃)できます。

このとき、ファイルXには「../」というパスが使われます。これは相対パスに使うもので、現在の階層より1つ上の階層を示す記号です。この記号で、本来の抽出場所とは別の位置を指定できるのです。

攻撃したい場所が明確であればそれを指定できますが、そうでなくても大量に「../」を使えば総当たり的に攻撃することが可能です。

Zip Slipを利用した攻撃への対処法

Zip Slipの脅威を防ぐには、どのような対策をすればよいのでしょうか。

ソフトウェアアップデートを行う

Zip Slipは多くのソフトウェアの脆弱性として存在します。しかし、それらはソフトウェアのアップデートを行うことで解消します。

2018年6月5日にZip Slipの情報が公開されてから、Zip Slipの影響を受けるソフトウェアベンダーがアップデートを配布してきました。すでにほとんどのベンダーが対応を終えていると言います。

どのソフトウェアが影響を受け修正されたのかは、セキュリティ会社 Snykがリストを発表しているため、そちらを確認しましょう。

このように、Zip Slipはほかの脆弱性と同様、ソフトウェアアップデートで解消します。普段からセキュリティを意識し、こまめにアップデートを行っているのであれば、特別な心配は必要ありません。

参照:snyk/zip-slip-vulnerability: Zip Slip Vulnerability (Arbitrary file write through archive extraction)|GitHub

脆弱性診断を行う

利用しているソフトウェアに脆弱性が残っていないか心配な場合は、脆弱性診断を行いましょう。

脆弱性診断はその名のとおり、ソフトウェアに脆弱性がないかチェックする作業です。ソフトウェア開発会社やセキュリティソフトベンダーが提供しているため、それを利用しましょう。

具体的には、プログラムによる自動テストや、エンジニアによる手動テストがあります。サービスによっては、診断結果をもとにセキュリティ対策を提案してもらえることもあります。Zip Slipに限らず、自社のソフトウェアの安全性を高める有効な手段として知っておきましょう。

Zip Slipについて理解し、セキュリティへの意識を高めよう

Zip Slipとは、Zipなどのアーカイブファイルの処理過程に存在する脆弱性のことです。サイバー攻撃の1つであるディレクトリトラバーサルに悪用されます。

アーカイブファイルは中身を展開する位置を自由に設定できます。相対パスで位置指定を行うことで、本来はアクセスできない場所にファイルを展開可能です。

ソフトアップデートや脆弱性診断で対処できます。以上を踏まえ、セキュリティの見直しを行いましょう。

暗号化ソフト 製品を調べて比較
製品をまとめて資料請求! 資料請求フォームはこちら
暗号化ソフトの資料請求ランキングで製品を比較! 今週のランキング第1位は?
こちらもおすすめ!
暗号化ソフト 選び方ガイド
電球 製品を選ぶときのポイントがわかる!
電球 どんな企業が導入すべきかがわかる!
お役立ち資料ダウンロード
選び方ガイドのダウンロードはこちら arrow

このカテゴリーに関連する記事

公開鍵・秘密鍵とは?暗号化の仕組みをわかりやすく解説

公開鍵・秘密鍵とは?暗号化の仕組みをわかりやすく解説

暗号化のAES方式とは?ほかの種類との違い・実施方法を解説!

暗号化のAES方式とは?ほかの種類との違い・実施方法を解説!

RSA暗号とは?仕組みや応用事例を初心者にもわかりやすく解説!

RSA暗号とは?仕組みや応用事例を初心者にもわかりやすく解説!

初期化ベクトルとは?暗号化で知っておくべき基礎知識を解説!

初期化ベクトルとは?暗号化で知っておくべき基礎知識を解説!

DH(Diffie-Hellman)法とは?仕組みや問題点をわかりやすく解説!

DH(Diffie-Hellman)法とは?仕組みや問題点をわかりやすく解説!

ハッシュ化とは?暗号化との違いや利用シーンを詳しく解説!

ハッシュ化とは?暗号化との違いや利用シーンを詳しく解説!

パスフレーズとは?パスワードとの違い・作り方のポイントを紹介!

パスフレーズとは?パスワードとの違い・作り方のポイントを紹介!

暗号化の「DES」とは?今後の主流となるAESもあわせて解説!

暗号化の「DES」とは?今後の主流となるAESもあわせて解説!

暗号化の基本知識「平文」とは?初心者向けにわかりやすく解説!

暗号化の基本知識「平文」とは?初心者向けにわかりやすく解説!

IT製品・サービスの比較・資料請求が無料でできる、ITトレンド。「「Zip Slip」とは?仕組みや対処法についてわかりやすく解説!」というテーマについて解説しています。暗号化の製品導入を検討をしている企業様は、ぜひ参考にしてください。

お役立ち資料ダウンロード
暗号化
基本情報から選ぶ時のポイント、ITトレンドおすすめの製品情報をまとめてご紹介します。
関連製品・サービス
サイエンスパーク株式会社
サイエンスパーク株式会社
追加
標的型サイバー攻撃の出口対策!Driverware NonCopy 2
業務ファイルの安全な活用を実現するセキュリティソフトウェアです。 保護ファイル操作中はインターネット接続を遮断&ファイルの暗号化により、マルウェアによるファイルの不正な持ち出しを防止
ペンタセキュリティシステムズ株式会社
ペンタセキュリティシステムズ株式会社
追加
Oracle/Microsoft SQL Serverの商用DB暗号化ソリューション D'Amo
D'Amoは商用データベースOracle・Microsoft SQL Server専用の暗号化ソリューションです。アプリケーションのクエリー変更せずに導入でき、カラム単位で機密情報を選択的に暗号化できます。
株式会社DataClasys
株式会社DataClasys
☆☆☆☆☆
★★★★★
4.3
追加
アプリを問わず暗号化!操作変わらず漏洩防止!DataClasys・データクレシス
Microsoft Word/Excel、一太郎、AutoCADなど、あらゆる文書をファイル単位で暗号化。個人情報保護法、不正競争防止法、SOX法などの内部統制強化に対応したファイル管理・文書管理を実現します。
ペンタセキュリティシステムズ株式会社
ペンタセキュリティシステムズ株式会社
追加
OSS データベースに特化した透過型暗号化ソリューションMyDiamo
MyDiamo(マイ・ディアモ)は、OSSデータベースに最適化されたデータ暗号化ソリューションです。暗号化機能に、アクセス制御や監査ログ機能を併せたオールインワンのパッケージで導入できます。
サイエンスパーク株式会社
サイエンスパーク株式会社
追加
Box,OneDriveのマルウェア/標的型攻撃対策CFKeeper
CFKeeperは、クラウドストレージと同期する特定のローカルフォルダのセキュリティ強化(コピーガード機能と強固な暗号化)を行います。
資料請求ランキング
6月21日(月) 更新
第1位
  • アプリを問わず暗号化!操作変わらず漏洩防止!DataClasys・データクレシス
  • 株式会社DataClasys
第2位
  • Oracle/Microsoft SQL Serverの商用DB暗号化ソリューション D'Amo
  • ペンタセキュリティシステムズ株式会社
第3位
  • 標的型サイバー攻撃の出口対策!Driverware NonCopy 2
  • サイエンスパーク株式会社
一覧を見る
  • ログイン
    •
  • 新規会員登録
    •
ITトレンドEXPO2021関連_3
ITトレンドへの製品掲載・広告出稿はこちらから
ITトレンドEXPO2021関連_2
新着記事
  • ハードディスク(HDD)暗号化とは?種類や実施方法を解説!
    社外に持ち出すパソコンの紛失や盗難によるデータ...
  • 暗号化の種類・特徴とは?暗号アルゴリズムも分かりやすく解説!
    暗号化にはどのような種類があるのでしょうか。一...
  • おすすめの暗号化ソフト16種を比較!導入に失敗しない選び方も解説
    近年では、どのような企業でもセキュリティ対策を...
  • TLSとは?SSLとの違いや導入方法をわかりやすく解説!
    TLSとはどのようなものでしょうか。SSLと一緒に扱...
  • 暗号強度とは?セキュリティを高める方法にはどうすべき?徹底解説!
    ネットワーク間で送信されるデータのセキュリティ...
  • データベースの暗号化とは?実施するポイントや方法も詳しく解説!
    データベースの暗号化とはどのようなものなのでし...
  • 暗号化のメリットとデメリットは?注意するポイントも
    暗号化のメリット・デメリットや、暗号化ソフトを...
  • 情報資産にかかわるインシデントの原因と「暗号化」
    「顧客情報の流出」という言葉を頻繁に目にする今...
  • ペイロードを暗号化する「ESP」とは?IPSec上での仕組みを解説!
    ESPとはどのような仕組みなのでしょうか。ペイロー...
  • 暗号化機能付きUSBとは?認証方法の種類についても詳しく紹介!
    USBメモリで安全にデータを持ち運びたいと考えてい...
ページトップへ
ITトレンドについて
ITトレンドとは|
ご利用規約|
レビューガイドライン|
プライバシーポリシー|
クッキーポリシー|
運営会社|
サイトマップ|
お問い合わせ|
IT製品を探す
製品を探す |
ランキングから探す
IT製品を知る
用語集
IT製品を掲載する
掲載について
関連サービス・サイト
List Finder |
Urumo! |
Seminar Shelf

Copyright (C) 2021 IT Trend All Rights Reserved.

暗号化ソフトの製品をまとめて資料請求
資料請求フォームはこちらplay_circle_outline
0件の製品が資料請求リストにあります。
リストの製品に資料請求するplay_circle_outline すべての製品に資料請求するplay_circle_outline
リストの製品に資料請求するplay_circle_outline すべての製品に資料請求するplay_circle_outline
リストをリセットreplay
資料請求リストをリセットします。
よろしいですか?
はい いいえ