コードレビューで発見！セキュリティ上の脆弱性

2025年3月6日

こんばんは！IT業界で働くアライグマです！

ソフトウェア開発において、コードレビューは品質向上のための重要なプロセスです。バグの発見や可読性の向上はもちろんのこと、セキュリティ上の脆弱性を事前に防ぐためにも欠かせません。しかし、実際の現場では、機能の動作確認に重点を置き、セキュリティリスクを見逃してしまうケースが少なくありません。

本記事では、コードレビューでよく発見されるセキュリティ上の脆弱性について解説し、どのようなポイントに注意すればリスクを未然に防げるのかを詳しく説明します。

Contents

よく見つかるセキュリティ上の脆弱性

SQLインジェクションは、外部からの入力を適切に処理しないことで、意図しないSQL文が実行される脆弱性です。

$query = "SELECT * FROM users WHERE username = '" . $_GET['username'] . "'";
$result = $db->query($query);

このコードでは、ユーザー入力を直接SQL文に組み込んでいるため、不正なSQLを挿入される可能性があります。

$stmt = $db->prepare("SELECT * FROM users WHERE username = ?");
$stmt->execute([$_GET['username']]);

プリペアドステートメントを使用することで、SQLインジェクションを防ぐことができます。

XSSは、ユーザーが入力したデータを適切に処理せずにHTMLとして出力してしまうことで、悪意のあるスクリプトが実行される脆弱性です。

echo "<p>" . $_GET['message'] . "</p>";

このコードでは、messageパラメータに<script>alert('XSS');</script>を入力されると、スクリプトが実行されてしまいます。

echo "<p>" . htmlspecialchars($_GET['message'], ENT_QUOTES, 'UTF-8') . "</p>";

htmlspecialchars() を使用することで、HTMLタグがエスケープされ、XSSを防ぐことができます。

コード内にパスワードやAPIキーを直接記述すると、バージョン管理ツール（Git など）に保存され、漏洩のリスクが高まります。

$api_key = "12345-abcdefg";

このコードがリポジトリに含まれると、万が一公開リポジトリにプッシュしてしまった場合に、機密情報が流出する危険性があります。

$api_key = getenv('API_KEY');

環境変数を使用することで、機密情報をコード内に直接書かずに管理できます。

エラーメッセージに機密情報が含まれていると、攻撃者にシステムの内部構造を知らせてしまうリスクがあります。

die("Database connection failed: " . $e->getMessage());

このコードでは、エラーメッセージにデータベース接続情報が含まれる可能性があり、攻撃者にとって有益な情報になってしまいます。

logError($e->getMessage());
die("An unexpected error occurred. Please try again later.");

エラーログには詳細な情報を記録し、ユーザーには一般的なエラーメッセージのみを表示することが重要です。

ユーザーが送信するデータを適切に検証しているかを確認しましょう。 特に、数値、メールアドレス、URLなどのデータ型を厳密にチェックすることが重要です。

HTMLやSQLにデータを埋め込む際は、適切なエスケープ処理が行われているかをチェックしましょう。

認証情報やAPIキーがハードコードされていないかを確認し、環境変数や設定ファイルに分離することを推奨します。

エラーメッセージに機密情報が含まれていないかをチェックし、一般的なエラーメッセージを表示する設計にすることが重要です。

コードレビューは単なるバグチェックではなく、セキュリティリスクを未然に防ぐ重要なプロセスです。SQLインジェクションやXSS、ハードコードされた認証情報、不適切なエラーハンドリングなどの脆弱性は、レビューの段階で発見・修正できます。

コードレビュー時にセキュリティを意識することで、より安全なシステムを構築し、攻撃リスクを低減させることができます。日々の開発の中で意識的に取り組み、チーム全体のセキュリティ意識を向上させましょう。