2024年版：注目すべきWebハッキング技術トップ10（PortSwigger調査）

元ソース：PortSwigger Research「Top 10 web hacking techniques of 2024」（年次企画第18回）

概要

PortSwigger Researchは、過去1年に公開されたWebセキュリティ研究の中から「革新的で必読」と評価されたトピックを、コミュニティ主導で選ぶ年次企画として「Top 10 Web Hacking Techniques」を公開している。2024年版はその第18回にあたり、単なる脆弱性カタログではなく、研究として新規性が高く、実務者の学びにつながる内容を掘り起こす“まとめ”として読まれている。

この企画のポイントは、現場で頻出する攻撃カテゴリ（例：XSS、SQLインジェクション、CSRF、XXE、ディレクトリトラバーサル、SSRFなど）と、研究コミュニティが注目する「新しい発見や手口の洗練」が交差する場所にあることだ。ランキングという形をとりつつも、目的は“今年の研究の潮流”を短時間で俯瞰できるようにする点にある。

詳細

まず押さえるべき前提として、この年次企画は「過去1年のWebセキュリティ研究」を対象に、コミュニティ投票（polls）等を通じて“トップ10”を決める、という性格を持つ。したがって、読者にとっての価値は、個別の再現手順や攻撃コードそのものではなく、「何が新しい論点だったのか」「既知の問題（入力検証・権限管理・パーサ差異など）がどのように再発明され、どの層で破綻したのか」を理解し、設計・レビュー・テストに還元できる点にある。

PortSwigger側の関連ページでは、代表的なWeb攻撃カテゴリとして、クロスサイトスクリプティング（XSS）、SQLインジェクション、クロスサイトリクエストフォージェリ（CSRF）、XML外部実体参照（XXE）、ディレクトリトラバーサル、サーバサイドリクエストフォージェリ（SSRF）などが言及されている。これらは“古典”にも見えるが、実際にはアプリケーション構成の複雑化（フロントエンドの多層化、API化、ORMの普及、クラウドメタデータや内部HTTP到達性、複数のパーサやゲートウェイの併存）によって、形を変えながら現在進行形で重大インシデントにつながりうる。年次のトップ10企画を追う意義は、こうした古典カテゴリが「どんな条件で現代的に成立するのか」を、研究の言語で学べることだ。

また、PortSwiggerは2023年版（第17回）も公開しており、2024年版との連続性を意識しながら読むと、研究テーマの移り変わりや、攻撃の成立要因がどこに集中しているかを比較しやすい。さらに、翌年の2025年版に向けた“推薦募集（call for nominations）”も別途案内されており、この企画が単発ではなく、研究コミュニティの継続的な観測点として運営されていることが分かる。

一方で、SNS上でも本企画は話題になり、たとえばLinkedIn上の投稿では、2024年のハッキングコンテスト等の文脈で、Googleが2024年に悪用された（またはコンテスト等で報告された）ゼロデイに関して修正した旨や、CVE-2024-7965への言及が見られる。こうした二次的な言及は、年次企画の“読まれ方”や関心の接点を知る材料にはなるが、実務で参照する際は、一次情報（PortSwigger Research本体や公式アドバイザリ等）に立ち返って事実関係を確認し、学習内容を防御側の施策（設計原則、ログと検知、境界の明確化、権限分離、入力データの正規化、テストの拡充）へ落とし込む姿勢が重要だ。

このように「Top 10 Web Hacking Techniques of 2024」は、攻撃手法を“使う”ための資料というより、Webアプリとその周辺（認証・認可、データアクセス層、プロキシやゲートウェイ、XML/JSON/クッキー等のパース、内部ネットワーク到達性）に潜む破綻パターンを、研究という粒度で再学習するための入口として位置づけるのが安全で有益である。年次で追いかけることで、同じカテゴリ名の下にある「失敗の条件」がどうアップデートされているかを掴みやすくなり、結果としてレビュー観点や脅威モデリングの精度を上げる助けになる。