Webキャッシュポイゾニングとは？わかりやすく解説

Webキャッシュポイゾニング（英語：Web Cache Poisoning、短縮表記：WCP）は、ウェブキャッシュの振る舞いを悪用し、有害なHTTPレスポンスをキャッシュサーバーに保存させ、正規のユーザーに対してその汚染されたコンテンツを配信させる攻撃手法である。この攻撃は、主にコンテンツデリバリネットワーク（CDN）、リバースプロキシ、アプリケーションアクセラレータを標的とする^[1]。CDNを対象としたWebキャッシュポイゾニングを、「CDNキャッシュポイゾニング」という。

概要

Webキャッシュは、応答時間の短縮とバックエンドサーバーの負荷軽減のために用いられる。キャッシュの基本的な動作は、「同じリクエストに対しては同じレスポンスを返す」という原則に基づいている。キャッシュサーバーはリクエストを識別するためにキャッシュキー（通常はURL、Hostヘッダーなど）を生成し、これが一致する場合に保存済みのレスポンスを返す^[2]。

攻撃者は、キャッシュキーに含まれないがバックエンドの処理には影響を与える「非キー化入力」を特定する。攻撃者は非キー化入力に、悪意のあるペイロード（スクリプトなど）を含んだリクエストを送信する。これによりキャッシュサーバに、生成された有害なレスポンスがキャッシュされる、以降アクセスする全ての正規ユーザーに対してその有害なレスポンスが配信されることになる^[3]。

このポイゾニングは、キャッシュサーバとバックエンドサーバの判断基準のずれを利用している。キャッシュサーバは、キャッシュキーの一致をチェックしているが、バックエンドサーバは、非キー化入力の一致をチェックしている。このずれにより、ポイゾニングが可能になっている。

手法

キャッシュキーと非キー化入力

キャッシュシステムは、HTTPリクエストを処理する際、そのリクエストを一意に特定するための識別子（キャッシュキー）を生成する。一般的に、パス（URI）、ホスト名、HTTPヘッダー、Cookieなどが用いられる。

一方で、User-Agent、Referer、Accept-Language、X-Forwarded-Hostなどのヘッダーや、GETリクエストにおけるボディ部は、デフォルトではキーに含まれず、リクエストの識別に使われない^[2]。

攻撃者はまず、手動探索やツールを用いて、キャッシュキーには含まれないものの、バックエンドのアプリケーション処理によってレスポンスの内容に変化を与える非キー化入力を特定する^[4]。次に、特定した入力にクロスサイトスクリプティングを行い、スクリプトや不正リダイレクトのURLなどの悪意のあるペイロードを注入し、バックエンドサーバーに有害なレスポンスを生成させる。最後に、対象リソースがキャッシュされていないタイミングや古いキャッシュが期限切れになるタイミングなどを狙い、この有害なレスポンスをキャッシュサーバーに保存させることで、以降アクセスする正規ユーザー全員に対して悪意のあるコンテンツを配信し、攻撃を成立させる^[4]。

非キー化入力

X-Forwarded-Host インジェクション - バックエンドがリンク生成にこのヘッダーを使用している場合、攻撃者は自身のドメインを指定してスクリプトタグ（例: `<script src="...">`）を生成させ、XSSを成立させる^[5]。
X-Forwarded-ProtoによるDoS - HTTPSサイトに対し、`X-Forwarded-Proto: http`を送信して301リダイレクトを誘発し、これをキャッシュさせることで、正規ユーザーを無限リダイレクトループに陥らせる事例（例：Kahoot!の事例）がある^[6]。

Unkeyed Query Parameters - Webマーケティング用のパラメータ（例: `utm_content`）はキーから除外されることが多い。これらがページ内にリフレクションされる場合、XSSの経路となる^[2]。
Fat GET - GETリクエストのボディに含まれるパラメータをバックエンドが処理する場合、キャッシュ層がボディを無視する仕様を突き、悪意のあるコンテンツをキャッシュさせる^[7]。

Cache-Poisoned Denial of Service (CPDoS)

Cache-Poisoned Denial of Service (キャッシュ汚染型サービス拒否攻撃、略称：CPDoS)は、キャッシュをエラーページや無効なコンテンツで上書きし、サービスを停止させる攻撃である。キャッシュサーバーとオリジンサーバーのヘッダーサイズの制限差を利用したHHO (HTTP Header Oversize) や、制御文字を利用したHMC (HTTP Meta Character) などの手法が存在する^[8]。主にCDNが標的とされ、かつ大量のトラフィックを必要とせず、広範囲のユーザーに影響を与えることができるのが特徴である^[8]。

防御策

防御には、インフラス、CDN、アプリケーションの各層における多層防御が必要である。2024年のACM CCSで発表された研究では、HTTP/2とHTTP/1.1の変換差異や、Rangeリクエストの処理不備を悪用した新たな攻撃ベクトルが特定されている。調査によると、トップドメインの約17%がいまだにWebキャッシュポイゾニングに対して脆弱であるとされる^[9]。

検出

Webキャッシュポイゾニングの検出は、キャッシュの挙動が見えにくいブラックボックステストである。自動化ツールとしては、James Kettleが開発者のParam Miner（Burp Suite拡張機能）^[10]や、大規模スキャン向けのHCache、DoS攻撃検出に特化したToxicacheなどが利用される^[11]。

対策

Nginxでキャッシュキーを生成するディレクティブであるproxy_cache_keyを使用し、キーに含める要素を明示的に、かつ最小限に定義する^[12]。
VCL（Varnish Configuration Language）を用いてリクエストヘッダーの正規化を行い、危険なヘッダーを無効化する^[13]。

主要なCDNプロバイダーの対策機能を導入し、キャッシュキーの要素の制御、オリジン到達前のヘッダー削除や正規化をする^[14]^[15]^[16]。

アプリケーション層で、コンテンツ生成に使用したヘッダー（例：X-Forwarded-Host）を`Vary`レスポンスヘッダーに指定することで、キャッシュの断片化を促しポイズニングを防ぐ^[17]。
Ruby on Railsにおいて、 `config.hosts`設定でホスト名をホワイトリスト化し、ホストヘッダーに起因する脆弱性（特にWebキャッシュポイズニングやHostヘッダーインジェクション）を防ぐ^[18]。

その他

Webキャッシュポイゾニングは、Web Cache Deception（WCD）は混同されやすいが、その目的は異なる^[19]。Webキャッシュポイゾニングは、ポイゾニングを行うことで、不特定多数のユーザーに対し、改ざんされたコンテンツや悪意のあるスクリプトを配信する。一方、Web Cache Deception（WCD）は、攻撃対象者を誘導して機密情報を含むページをキャッシュさせ、攻撃者がそれを取得する攻撃である。

脚注

[脚注の使い方]

^ “Web Cache Poisoning”. Invicti. 2025年12月11日閲覧。
^ ^a ^b ^c “Web Cache Poisoning”. Invicti. 2025年12月11日閲覧。
^ “Web Cache Poisoning - Vulnerabilities”. Acunetix. 2025年12月11日閲覧。
^ ^a ^b “Web cache poisoning”. PortSwigger. 2025年12月11日閲覧。
^ “Pentester Insights: Deep Dive in Web Cache Poisoning Attacks”. Cobalt.io. 2025年12月11日閲覧。
^ “How a simple HTTP header mismatch led to cache poisoning”. Kahoot!. 2025年12月11日閲覧。
^ “Prevent CDN poisoning from Fat GET/HEAD Requests in Ruby on Rails”. Island94.org. 2025年12月11日閲覧。
^ ^a ^b “CPDoS: Cache Poisoned Denial of Service”. CPDoS. 2025年12月11日閲覧。
^ “Internet's Invisible Enemy: Detecting and Measuring Web Cache Poisoning in the Wild”. Jianjun Chen. 2025年12月11日閲覧。
^ “Web cache poisoning”. PortSwigger. 2025年12月11日閲覧。
^ “Toxicache: Go scanner to find web cache poisoning vulnerabilities”. GitHub. 2025年12月11日閲覧。
^ “Module ngx_http_proxy_module”. nginx. 2025年12月11日閲覧。
^ “Prevent cache poisoning”. Adobe Commerce. 2025年12月11日閲覧。
^ “Cache Deception Armor”. Cloudflare. 2025年12月11日閲覧。
^ “Mitigate Common Web Threats with One Click in Amazon CloudFront”. AWS. 2025年12月11日閲覧。
^ “Cache ID Modification”. Akamai. 2025年12月11日閲覧。
^ “Web Cache Poisoning - Vulnerabilities”. Acunetix. 2025年12月11日閲覧。
^ “Issue #3 · ankane/secure_rails - Host header injection”. GitHub. 2025年12月11日閲覧。
^ “Internet's Invisible Enemy: Detecting and Measuring Web Cache Poisoning in the Wild”. Jianjun Chen. 2025年12月11日閲覧。

表話編歴脆弱性、攻撃手法、エクスプロイトと対策
インジェクション (CWE-74)・入力検証不備	不適切な入力確認 (CWE-20) OSコマンドインジェクション (CWE-78) クロスサイトスクリプティング (XSS) (CWE-79) SQLインジェクション (CWE-89) LDAPインジェクション (CWE-90) コードインジェクション (CWE-94) HTTPヘッダ・インジェクション (CWE-113) HTTPレスポンススプリッティング（英語版） (CWE-113) 書式文字列攻撃 (CWE-134) XML外部実体攻撃 (XXE) (CWE-611) Insecure Deserialization（英語版）(CWE-502) ファイルインクルード脆弱性（英語版） Mass Assignment脆弱性（英語版）プロンプトインジェクション
Web・ブラウザ・クライアント関連	ディレクトリトラバーサル (CWE-22) クロスサイトリクエストフォージェリ (CSRF) (CWE-352) Webキャッシュポイゾニング (CWE-444) サーバサイド・リクエストフォージェリ (SSRF) (CWE-918) IDNホモグラフ攻撃 (CWE-1007) クリックジャッキング (CWE-1021) クロスサイトトレーシング (XST) DNSリバインディングクロスサイト・クッキングリファラスプーフィング（英語版） (CWE-601) クロスゾーンスクリプティング（英語版）
認証・セッション・なりすまし	セッションハイジャック (CWE-287) IPスプーフィング (CWE-290) クレデンシャル・スタッフィング (CWE-307) DNSスプーフィング (CWE-345) セッションフィクセーション (CWE-384) パス・ザ・ハッシュ攻撃 (CWE-522) ファーミング (CAPEC-89) フィッシング (詐欺) (CAPEC-98) リプレイ攻撃中間者攻撃 (MITM) ARPスプーフィング MITB攻撃悪魔の双子攻撃セッションポイズニング（英語版） Kerberoasting（英語版）クッキーモンスター攻撃（英語版）クッキースタッフィング（英語版） in-sessionフィッシング（英語版） Eメールスプーフィング（英語版） MOTS攻撃（英語版）
システム・メモリ・並行処理	バッファオーバーフロー (CWE-119) [[]] (CWE-121) スタックバッファオーバーフロー（英語版） Off-by-oneエラー (CWE-193) Return-to-libc攻撃競合状態 (Race Condition) (CWE-362) Time-of-check to time-of-use (TOCTOU) (CWE-367) TCPシーケンス番号予測攻撃 JITスプレー Spectre Use After Free（英語版）ダングリングポインタ（英語版）
暗号・サイドチャネル・ハードウェア	サイドチャネル攻撃 (CWE-203) 平文保存(CWE-312) 暗号アルゴリズムの脆弱性 (CWE-327) [POODLE]](CWE-757) KRACK(CWE-757) 誕生日攻撃 Meltdown CRIME Intel ME（英語版） Lazy FP state restore（英語版） TLBleed（英語版）スナーフィング（英語版）コールドブート攻撃（英語版）
可用性侵害 (DoS攻撃)	DoS攻撃 (CWE-400) ICMP echoフラッド Smurf攻撃 SYN flood UDPフラッド攻撃 HTTP Flood スローロリス_(DOS攻撃ツール) ZIP爆弾 (CWE-409) Billion laughs攻撃 (XML爆弾) (CWE-776) メールボムクリアチャネル評価攻撃（英語版）
対策・防御技術	ファイアウォール Web Application Firewall (WAF) 侵入検知システム (IDS) 侵入防止システム (IPS) Endpoint Detection and Response (EDR) Endpoint Protection Platform（EPP） User and Entity Behavior Analytics（UEBA） Security information and event management (SIEM) Security Orchestration, Automation and Response (SOAR) Cloud access security broker (CASB) 多要素認証 (MFA) Content Security Policy (CSP) HTTP Strict Transport Security (HSTS) Outbound Port 25 Blocking（OP25B） Wi-Fi Protected Access セキュリティ・バイ・デザイン (SBD) ソフトウェア・サプライチェーンゼロトラスト・セキュリティモデルコンテントスニッフィング（英語版）
関連項目・ツール	マルウェアセキュリティホールクラッキング脆弱性情報データベースブラウザクラッシャーシェルコード Metasploit OWASP Sshnuke 脆弱性情報データベース (CVE/JVN) 脆弱性報奨金制度 Nikto Web Scanner（英語版） w3af（英語版）隠れ通信路（英語版）

Webキャッシュポイゾニングとは？わかりやすく解説