リモート・ファイルインクルードとは【用語集詳細】
リモート・ファイル・インクルード(Remote File Inclusion、RFI)は、Webアプリケーションにおける外部ファイル参照機能を悪用した攻撃手法です。
ファイル・インクルージョンは、コードを別個のファイルによって構成し、アプリケーションから参照する仕組みです。
攻撃者はWebアプリケーションに対し、外部に存在する悪意のあるファイルを参照させることにより、予期せぬ動作や悪意ある動作を引き起こします。
リモート・ファイル・インクルージョンは通常、攻撃者がWebアプリケーションに対し不正な入力(URLや値)を行うことで実行されます。
制作者が意図しない、不正なファイルを参照したアプリケーションは、サーバーあるいはクライアントに対し不正な動作を行い、情報の流出やWebアプリケーションの改ざん等に至ります。
Webアプリケーションセキュリティ団体OWASPは、ファイルインクルードの仕組みを多用するWebアプリケーション言語であるPHPが、リモート・ファイル・インクルード に対して特に脆弱であると指摘しています。
