LDAPインジェクションとは？わかりやすく解説

コンピュータセキュリティにおいて、LDAPインジェクション（英: LDAP injection）とは、ディレクトリ・サービスに接続するために使用される通信プロトコルであるLDAP (Lightweight Directory Access Protocol) で表現される、インジェクション攻撃である^[1]^[2]^[3]。これにより、機密性の高いユーザー情報が漏洩したり、情報を改ざんすることでWebアプリケーションを悪用される恐れがある。LDAPインジェクションは、内部の検索、追加、または変更関数に渡される入力パラメータを操作することによって、アプリケーションのセキュリティ脆弱性を悪用する。アプリケーションがユーザー入力を適切にサニタイズ（無害化）しない場合、攻撃者がLDAP文を改ざんすることが可能になる。

技術的実装

LDAPインジェクションは、ユーザー入力が適切にサニタイズされずに、動的に生成されるLDAPフィルタの一部として使用される場合に発生する。これにより、LDAPサーバー上で実行されるLDAP文が操作され、認証情報の閲覧、改ざん、または迂回が行われる可能性がある^[1]。

防御策

LDAPインジェクションは既知の攻撃であり、簡単な対策で防ぐことができる。クライアントから提供されるすべての入力は、悪意のある動作を引き起こす可能性のある文字がないかチェック/サニタイズされなければならない。入力検証では、LDAPクエリ言語の一部である特殊文字、既知のデータ型、正当な値などが存在するかどうかをチェックして、入力を検証する必要がある^[2]。ホワイトリスト方式の入力検証を使用して、LDAPクエリに渡される前に不正な入力を検出することもできる。Web Application Firewallの利用も推奨されている^[4]。

例

以下の例では、ログイン目的でユーザーの認証情報を検証するためのクエリが構築される。

String filter = "(&(USER = " + user_name + ") (PASSWORD = " + user_password + "))";

LDAPの典型的なユースケースでは、ユーザーは自身の認証情報を提供し、このフィルタがその検証に使用される。

攻撃者は変数 user_name に対して johnDoe)(&) のような細工された入力を行い、パスワードには任意の値を入力することができる。すると、完成したクエリは (&(USER = johnDoe)(&))(PASSWORD = pass)) となる。LDAPサーバーによって処理されるのはこのクエリの最初の部分 (&(USER = johnDoe)(&) のみであり、これは常にtrueと評価されるため、攻撃者は有効な認証情報を提供することなくシステムへのアクセス権を得ることができてしまう。

参考文献

[脚注の使い方]

^ ^a ^b Alonso, J. M.; Bordon, R.; Beltran, M.; Guzman, A. (2008-11-01). “LDAP injection techniques”. 2008 11th IEEE Singapore International Conference on Communication Systems. pp. 980–986. doi:10.1109/ICCS.2008.4737330. ISBN 978-1-4244-2423-8
^ ^a ^b “The Web Application Security Consortium / LDAP Injection”. projects.webappsec.org. 2025年7月4日閲覧。
^ Varanasi, Balaji (2013-11-26) (英語). Practical Spring LDAP: Enterprise Java LDAP Development Made Easy. Apress. p. 97. ISBN 978-1-4302-6398-2 2025年7月4日閲覧。
^ “安全なウェブサイトの運用管理に向けての20ヶ条〜セキュリティ対策のチェックポイント〜 | 情報セキュリティ”. IPA 独立行政法人情報処理推進機構. 2025年7月4日閲覧。

[Alonso2008-1] Alonso, J. M.; Bordon, R.; Beltran, M.; Guzman, A. (2008-11-01). “LDAP injection techniques”. 2008 11th IEEE Singapore International Conference on Communication Systems. pp. 980–986. doi:10.1109/ICCS.2008.4737330. ISBN 978-1-4244-2423-8

[consortium-2] “The Web Application Security Consortium / LDAP Injection”. projects.webappsec.org. 2025年7月4日閲覧。

[Varanasi-3] Varanasi, Balaji (2013-11-26) (英語). Practical Spring LDAP: Enterprise Java LDAP Development Made Easy. Apress. p. 97. ISBN 978-1-4302-6398-2 2025年7月4日閲覧。

[4] “安全なウェブサイトの運用管理に向けての20ヶ条〜セキュリティ対策のチェックポイント〜 | 情報セキュリティ”. IPA 独立行政法人情報処理推進機構. 2025年7月4日閲覧。

[1]

[2]

[3]

[4]

表話編歴脆弱性、攻撃手法、エクスプロイト
クロスサイト攻撃	クロスサイトリクエストフォージェリ (CSRF) クロスサイトスクリプティング (XSS) クロスサイト・クッキングクロスサイトトレーシングクロスゾーンスクリプティング（英語版）
インジェクション攻撃 (CWE-74)	OSコマンドインジェクション (CWE-78) クロスサイトスクリプティング (XSS) (CWE-79) SQLインジェクション (CWE-89) LDAPインジェクション (CWE-90) HTTPヘッダ・インジェクション (CWE-113) HTTPレスポンススプリッティング（英語版） (CWE-113) 書式文字列攻撃 (CWE-134) プロンプトインジェクション
スプーフィング攻撃	DNSスプーフィング IPスプーフィング ARPスプーフィングクリックジャッキング (CAPEC-103) リファラスプーフィング（英語版） Eメールスプーフィング（英語版）フィッシング (CAPEC-98) ファーミング (CAPEC-89)
セッションハイジャック関連	セッションフィクセーション (CWE-384, CAPEC-61) セッションポイズニング（英語版） TCPシーケンス番号予測攻撃クッキーモンスター攻撃（英語版）
DoS攻撃	Land攻撃クリアチャネル評価攻撃（英語版）
サイドチャネル攻撃	コールドブート攻撃（英語版） Meltdown Spectre Lazy FP state restore（英語版） TLBleed（英語版）
不適切な入力確認 (CWE-20)	バッファオーバーフロー (CWE-119、120、121等) Return-to-libc攻撃ディレクトリトラバーサル (CWE-22)
未分類	中間者攻撃 (CAPEC-94) MITB攻撃 MOTS攻撃（英語版） Off-by-oneエラー (CWE-193) ファイルインクルード脆弱性（英語版） Mass Assignment脆弱性（英語版）ダングリングポインタ（英語版） DNSリバインディング in-sessionフィッシング（英語版）クッキースタッフィング（英語版）悪魔の双子攻撃 IDNホモグラフ攻撃スナーフィング（英語版） JITスプレーイング（英語版）リプレイ攻撃誕生日攻撃 CRIME KRACK Intel ME（英語版）の脆弱性
対策	OP25B Content Security Policy（英語版）コンテントスニッフィング（英語版） HTTP Strict Transport Security (HSTS) ファイアウォール侵入防止システム (IPS) 侵入検知システム (IDS) Web Application Firewall (WAF) Wi-Fi Protected Access
関連項目	マルウェアセキュリティホールクラッキング脆弱性情報データベースブラウザクラッシャーシェルコード Metasploit Sshnuke Nikto Web Scanner（英語版） OWASP（英語版） w3af（英語版）隠れ通信路（英語版）

LDAPインジェクションとは？ わかりやすく解説