サクラ先輩とももちゃんが、平成24年度春期情報セキュリティスペシャリスト試験の過去問を題材に、Webアプリケーションの脆弱性について徹底解説します。単なる過去問解説にとどまらず、2026年の最新セキュリティ事情やモダンな対策の視点も交えて、現場で活かせる実践的な知識を分かりやすくお届けします。 学習すべき重要なキーワードについて説明します。まず一つ目はクッキーのセキュア属性です。暗号化通信だけで使用されるべきクッキーには、平文のHTTP通信で送信されて盗聴されるのを防ぐために、必ずセキュア属性を設定する必要があります。さらに現代の視点では、これに加えてクロスサイトリクエストフォージェリ対策としてSameSite属性のStrictまたはLax設定が標準化されており、より強固な保護が求められています。二つ目はセッション管理におけるIPアドレスの罠です。同一のセッションIDが複数のIPアドレスから送信されているかを確認して不正を検知しようとする手法がありますが、これには誤検知と検知漏れのリスクがあります。モバイル回線のように途中でIPアドレスが変わる正当なアクセスを誤って検出してしまったり、攻撃者と被害者が同一のプロキシサーバやNATを経由している場合に不正アクセスを検出できなかったりするため、IPアドレスを人の識別子として扱うことは大変危険です。現代ではネットワーク境界を信用しないゼロトラストアーキテクチャの考え方が主流となっています。三つ目はアクセスログとHTTPメソッドの仕様です。アクセスログから攻撃の痕跡を探す際、POSTメソッドで送信されたボディのデータは通常ログに記録されません。そのため、クエリ文字列としてパラメータがURIに露出するGETメソッドが使用された場合にしか、スクリプトが含まれているなどの異常を検出できないというログ監視の限界を知っておく必要があります。四つ目はクロスサイトスクリプティング対策と文脈に応じたエスケープ処理です。単に不等号などの記号を変換すれば安全というわけではなく、出力される場所がHTMLコンテキストなのかJavaScriptコンテキストなのかによって危険な文字が異なります。HTML用のエスケープではJavaScript内のシングルクォートを防ぐことができず直後のスクリプトが実行されてしまうため、バックスラッシュを用いて文法上の意味を打ち消すといった専用のエスケープ処理が不可欠です。現在はモダンフロントエンドフレームワークによる自動エスケープや、コンテンツセキュリティポリシー、ウェブアプリケーションファイアウォールによる多層防御が普及していますが、なぜその文字が危険なのかという根本原理を理解することが重要です。 www.youtube.com