お問い合わせフォームを例にわかりやすく説明します。

お問い合わせフォームには、「お名前」、「メールアドレス」、「お問い合わせ内容」の3つが必ずあり、他にフォームで必要な項目が足される程度だと思います。これらの「お名前」や「メールアドレス」に入力される値を「入力値」と呼びます。

この入力値が「お名前」だった場合、普通の人、例えば私なら「安藤建一」と入力しますが、悪いことをたくらんでいる人は名前なんか入力しません。

などを入力します。入力値の厳格な検証を施したシステムであれば、名前以外の目的を持った文字を決して受け付けません！システムを破壊するような文字は存在するのです。発注する開発会社に必ず確認するようにしましょう。

お問い合わせフォームで、無事に「入力値の厳格な検証」を潜り抜けたとしても、データはどこで改ざんされるかわかりません。これは残念なことなのですが、社内でそのような不正を働くものが100％いないと断言できません。つまり厳格な検証を通過したデータでさえも、信用してはならないということです。

お問い合わせフォームから誰かが問い合わせをすれば、受け付けた側の誰かが必ず文章を読みます。当たり前ですよね。会社であれば、広報担当かもしれません。営業かもしれません。そんな方々に向けて、コンピュータウィルスへ誘導するような危険なタグが仕込まれていて、お問い合わせフォームを開いてリンクをクリックしたらウィルスに感染してしまう可能性があります。ウィルスに感染してしまうと、社内中大騒ぎになります。大切な顧客情報などが流出してしまうのではないかと大変深刻な事態にまで発展します。

危険なデータを含む可能性があると常に考え、ブラウザに表示させる（出力する）前に、必ず適切なエスケープ処理を施す必要があります。怪しいリンクがあれば事前に消してしまうということです。

「出力時の適切なエスケープ処理はできていますか？」と開発者にお尋ねください。

プログラム言語そのものにバグがあったり、ロボットにパスワード解読の作業をさせたり、セッションをハイジャックしたりと、攻撃者は決して手を緩めることはないでしょう。セキュリティホール（セキュリティの穴）を必死になって探します。

例えば、お問い合わせフォームに「画像認証コード」を付けるなどして、ロボットの自動送信を防いだり、ワンタイムチケットと呼ばれる対策を講じたり、本当に重要な処理にはパスワードを付けるなどの工夫が必要です。攻撃者もパスワードは知りませんので、パスワード解析を含めると時間がかかり、諦めてしまうかもしれません。

重複するような対策であっても適所でキッチリ対策をしておけば、1つの対策が破られても、、もう1つの対策が効果を表すことがあります。このような多重の対策を「多重防御」と呼びます。発注する開発者に訪ねてみましょう。

最後に、

ということは必ずあります。身を引き締めて対策に精進を努めます！！

それでは、次号もよろしくお願いします。　株式会社音生　安藤建一