[非エンジニア向け] ウェブサイトの隠れた危険？クライアントサイドテンプレートインジェクション入門

ウェブサイトは、ユーザーごとに表示内容を変えることがあります。例えば、ログインしたときに「〇〇さん、こんにちは！」と表示されたり、検索結果を表示したりしますよね。

これを効率的に行うために、「テンプレート」という雛形を使うことがあります。テンプレートには、「ここにはユーザー名を入れる」「ここには検索結果を入れる」といった目印（プレースホルダー）が書かれています。

ウェブサイトを表示するとき、プログラム（テンプレートエンジン）がこのテンプレートと実際のデータ（ユーザー名や検索結果など）を組み合わせて、最終的な画面を作ります。💻

例えるなら、年賀状のテンプレートに、送る相手の名前や住所を印刷するようなイメージです。

CSTIは、このテンプレートの仕組みを悪用する攻撃手法の一つです。特に、「クライアントサイド」、つまりユーザーのパソコンやスマホのブラウザ上で動くテンプレートで発生します。

通常、テンプレートに入れるデータ（ユーザー名など）は、ただの文字として扱われます。しかし、もしウェブサイトの作り方に問題があると、ユーザーが入力した内容が「テンプレートの一部（指示）」として解釈されてしまうことがあるのです。

例えば、検索ボックスに普通は検索したい言葉を入れますよね？ もしここに、テンプレートを操作するような特別な文字列（悪意のあるコード）を入力できてしまい、それがテンプレートの指示として実行されてしまうと、問題が発生します。

これは、年賀状の宛名に「このプリンターを壊せ！」と書いて、プリンターがその指示を実行してしまうような、ありえないけど怖い状況に似ています。

CSTIが悪用されると、次のようなことが起こる可能性があります。

• なりすまし・情報漏洩: 悪意のあるコードがブラウザで実行されることで、ログイン情報（セッション情報など）が盗まれ、攻撃者にアカウントを乗っ取られる可能性があります。
• ウェブサイトの改ざん: ユーザーが見ている画面が、攻撃者によって書き換えられてしまう可能性があります。偽の情報が表示されたり、フィッシングサイトに誘導されたりするかもしれません。
• 悪意のあるスクリプトの実行 (クロスサイトスクリプティング – XSS): CSTIは、XSSと呼ばれる別の攻撃を引き起こすことがよくあります。これにより、ユーザーのブラウザ上で、攻撃者が仕込んだ不正なプログラムが実行されてしまいます。

これらの攻撃は、主にウェブサイトを閲覧している他のユーザーに影響を与えます。例えば、誰かが悪意のあるコメントを投稿し、そのコメントを見た他のユーザーのブラウザで不正な処理が実行されてしまう、といったケースが考えられます。

ウェブサイトを作る開発者の人たちは、CSTIを防ぐために次のような対策をします。（非エンジニアの方には少し難しいかもしれませんが、こんなことをしているんだな、と思ってください）

• 入力値の無害化 (サニタイズ): ユーザーが入力したデータに、テンプレートの指示として解釈されそうな特別な文字が含まれていたら、それを単なる文字として扱われるように変換します。これが一番重要です。
• 安全なテンプレートエンジンの利用: テンプレートエンジン自体に、安全な機能が備わっているものを選んだり、安全な設定で利用したりします。
• ユーザー入力をテンプレート構造に入れない: 可能な限り、ユーザーが入力した内容をテンプレートの「データを入れる場所」以外（例えば、テンプレートの構造自体）に直接埋め込まないように設計します。
• ソフトウェアの更新: 利用しているテンプレートエンジンや関連ライブラリを常に最新の状態に保ち、既知の脆弱性に対応します。

基本的には、「ユーザーからの入力は信用せず、必ずチェック・無害化してから使う」という考え方が大切です。✅

クライアントサイドテンプレートインジェクション（CSTI）は、ウェブサイトのテンプレート機能が悪用されることで発生するセキュリティ上の弱点です。

これが悪用されると、情報漏洩やなりすましなどの被害につながる可能性があります。

私たちは普段意識することはありませんが、安全なウェブサイトを作るためには、開発者がこうした脅威を理解し、適切な対策を行うことが不可欠なのです。安心してインターネットを使うために、裏側では様々な努力がされていることを少しでも知っていただけたら嬉しいです。😊