Defaults.Exposed › 修正 › MIMEスニッフィング対策（X-Content-Type-Options）

MIMEスニッフィング対策（X-Content-Type-Options） の直し方

ブラウザがファイルの本当の正体を推測するのを止める1行のヘッダーです。これがないと、誰かがサイトにアップロードしたファイル—あるいはあなた自身のページ上のファイル—がブラウザに誤解され、コードとして実行されることがあり、まさにそれが、無害そうなアップロードを顧客のセッションを盗む手段に変える攻撃の一部です。

あなたのビジネスにとっての結論： このヘッダーが欠けていることは、基本が整っていないという明確でスキャン可能な兆候です。それ単独でサイトを落とすことはまれですが、ファイルアップロードフォームやユーザー生成コンテンツと組み合わさると、攻撃者が訪問者のブラウザで悪意あるコードを実行する道を開き—ログイン済みセッションを乗っ取り、カード入力やログイン情報を盗み、データ侵害の議論で不利な側に立たせます。セキュリティの中でも最も安い修正のひとつです。1行、無料、約5分。

これで失いかねないもの

• 顧客や社員がファイルをアップロードできるページ（アバター、書類、サポートの添付、出品写真）はどれも、ブラウザ側攻撃の発射台になりえます。
• 攻撃者は悪意あるコードを画像やテキストファイルに偽装し、訪問者のブラウザにそれを実行させ—サイト上のログイン済みセッションを盗みます。
• セキュリティ質問票・サイバー保険のチェック・大企業の買い手がこのヘッダーをスキャンします。欠けていると『基本をやっていない』と読め、商談を止める・沈める可能性があります。
• 古いブラウザや一部の連携はコンテンツの種類を『スニッフ』し、信頼を損ねたりデータを漏らしたりする形でファイルを誤って扱うことがあります。

なぜ重要か。 サーバーがファイルの正体をあいまいにすると、ブラウザはコンテンツの種類を推測（『スニッフ』）しようとします。攻撃者はその推測を突きます。サーバーが画像とラベルするファイルをアップロードしつつ、ブラウザが実際にはJavaScriptだと判断して実行するよう中身を細工するのです。X-Content-Type-Options: nosniff ヘッダーは、すべてのブラウザに推測をやめてサーバーの宣言した種類を信頼するよう指示し、その一群の手口を閉じます。25点に値する評点付き検査で、欠けていると中重大度と評価されます。

オーナー向けの要点

すべてのウェブブラウザには静かな前提が組み込まれています。サイトからファイルをダウンロードすると、それがどんな種類のファイルかを割り出そうとするのです。通常はサーバーを信頼します。でもサーバーがあいまいだと、ブラウザは推測します—その推測がMIMEスニッフィングと呼ばれます。

問題は、攻撃者がその推測を操れることです。サーバーが正直に無害な画像だと信じるファイルを細工しつつ、ブラウザが推測に任せると実際にはプログラムコードの一部だと判断し—それを顧客のブラウザ内で、あなたのドメイン上で実行させられます。

推測をオフにする1行の指示があります。X-Content-Type-Options: nosniff。すべてのブラウザに『推測するな—サーバーが伝えるとおり正確に信頼せよ』と伝えます。それが修正のすべてです。無料で、約5分、適切に作られたサイトでは何も壊しません。

この検査はそのヘッダーを探します。欠けていると25点を失い、中重大度の問題と評価されます—ヘッダー単独が破滅的だからではなく、その欠如が基本が固められていない確かな兆候だからです。

これが招きうる損失

これらは現実的な、ビジネスレベルの筋書きです—最悪を煽る芝居ではありません。

• 『無害な添付』が無害でなかった。 顧客がファイル—領収書、写真、書類—をアップロードするサポートポータルやマーケットプレイスを運営しています。攻撃者が、システムが保存して画像として配信するファイルをアップロードします。nosniffがないと、被害者のブラウザがそのファイルを実際にはスクリプトだと推測して実行し—その訪問者のサイト上のログイン済みセッションを静かに盗みます。今や攻撃者がその人になります。注文し、メッセージを読み、詳細を変更します。顧客が身に覚えのない操作について苦情を言い始めて気づきます。

• セキュリティ質問票で止まる商談。 大口顧客の調達チームが契約前にサイトを自動スキャンします。欠けているセキュリティヘッダーが即座に現れます。一度も悪用されていなくても、レポートは『基本的なウェブセキュリティヘッダーが欠如』と言い、突然、5分で済んだはずの修正のために是正の問いに答え、締結日を数週間先送りすることになります。

• 難しくなるサイバー保険の更新。 見積もりや更新の前に外部スキャンを行う保険会社が増えています。きれいなヘッダー構成は安価な衛生の証拠で、欠けていると他と積み重なって保険料を上げたり条件を悪くしたりする小さな黒星です。

• 簡単には取り消せない評判の打撃。 セッション乗っ取りのインシデントがあなたのドメインから配信されたファイルに辿られると、話は『無名のヘッダーが欠けていた』ではなく『[あなたの会社]が顧客アカウントを漏らした』になります。それが顧客の記憶に残る版で、修正よりはるかに高くつきます。

これらはどれも高度な攻撃者を必要としません。MIMEスニッフィングの悪用はよく理解され自動化されており—まさにそれがスキャナーが欠けたヘッダーをきっぱり指摘する理由です。

これの実体

ブラウザがファイルを受け取ると、サーバーはコンテンツの種類（例えばPNG画像ならimage/png、ウェブページならtext/html）でそれをラベル付けすることになっています。歴史的に、ブラウザはそのラベルを完全には信頼しませんでした—一部のサーバーが間違えたためです—ので、ファイルの実際のバイトを覗き見て自分で判断していました。その覗き見がMIMEスニッフィングです。

便利さが負債になりました。攻撃者がファイルをサイトに乗せ（アップロードフォーム、コメント欄、取り込んだ書類経由で）その中身に影響を与えられれば、サーバーが無害にラベル付けするが、ブラウザが実行可能なスクリプトとしてスニッフするものを細工できます。ブラウザはそれを、あなたのドメインが持つすべての信頼とともに、あなたのドメイン上で実行します。

X-Content-Type-Options: nosniffは推測を完全に取り除きます。設定すると、ブラウザは『サーバーが宣言した種類だけを使い、それ以外は使うな』と告げられます。画像とラベルされたファイルは、中身がスクリプトに見えても、画像として扱われます。攻撃経路が閉じます。

『良い』状態とは： サイトからのすべてのレスポンス—ページもアセットも—がこのヘッダーを正確に運ぶこと：

X-Content-Type-Options: nosniff

他に有効な値も調整するものもありません。CDNとサーバーの両方が付けて（nosniff, nosniffと見えて）も問題なく、合格として数えられます。

修正方法（無料・約5分）

ウェブサイトを運用している人—IT担当、ウェブ開発者、ホスティングのサポート—にこの項を渡してください。修正は無料で速く、買うものはありません。 求めるのは単純です。『サイトのすべてのページとアセットにレスポンスヘッダーX-Content-Type-Options: nosniffを追加してほしい』。

担当者向けの詳細を、代表的なプラットフォーム別に。

Cloudflare（または同様のCDN/プロキシ） — しばしば最も速く、サイト全体を一度にカバーできます：

• Response Header Transform Rule（Rules → Transform Rules → Modify Response Header）を使い、すべての受信リクエストにX-Content-Type-Optionsをnosniffに設定します。オリジンサーバーに触れずサイト全体に適用されます。

Nginx — 該当するserver（またはlocation）ブロック内に追加：

add_header X-Content-Type-Options "nosniff" always;

alwaysキーワードはエラーレスポンスにも送られることを保証します。保存後にNginxを再読み込みします。

Apache — mod_headersが有効である必要があります。サイト設定か.htaccessに：

Header always set X-Content-Type-Options "nosniff"

IIS / Windowsホスティング — web.configの<system.webServer>下：

<httpProtocol>
  <customHeaders>
    <add name="X-Content-Type-Options" value="nosniff" />
  </customHeaders>
</httpProtocol>

Node / Express — すべてのレスポンスに設定：

app.use((req, res, next) => {
  res.setHeader('X-Content-Type-Options', 'nosniff');
  next();
});

（またはhelmetパッケージを使えば、これと他のいくつかのセキュリティヘッダーを初期状態で設定します。）

Google Workspace / Microsoft 365 のサイト： これらはあなたのメールと書類を管理するもので、公開ウェブサイトのホスティングではないので、ヘッダーはそこでは設定されません—ウェブサイト自体が配信される場所（CDN、ウェブサーバー、サイトビルダー）で設定します。ホスト型サイトビルダー（Squarespace、Wix、Shopifyなど）を使う場合、多くはこのヘッダーを自動で付けます。思い込まず結果を確認し、欠けていればサポートに尋ねてください。

展開後、検証する。 スキャンを再実行するか、開発者にブラウザの開発者ツール（Networkタブ → 任意のリクエストをクリック → Response Headers）でレスポンスヘッダーを確認させ、X-Content-Type-Options: nosniffがあることを確かめます。サイトを少しテストして、スタイルやスクリプトが壊れていないか確認します—正しく作られたサイトでは何も壊れません。

よくある間違い

• ホームページだけに設定する。 ヘッダーはすべてのレスポンス—画像・スクリプト・スタイルシート・アップロードされたファイルを含む—に付ける必要があります。それらがスニッフィングの影響を受けるリソースだからです。ページごとではなくサーバーやCDNのレベルで適用し、普遍的にします。
• 値の入力ミス。 唯一の有効な値はnosniffです。それ以外（空の値、綴り間違い）は検査に落ち、保護を与えません。スキャナーは実際に見た値を報告するので、入力ミスを見つけられます。
• Content Security Policyの代わりになると思い込む。 nosniffはひとつの層です。どのスクリプトが実行を許されるかは制御しません—それはCSPの仕事です。nosniffを手早い勝ちとして今追加し、適切なCSPはより大きな後続として扱いましょう。
• 『重複』を取り除く。 CDNとオリジンの両方が設定すると二重に見えます。無害です—片方を剥がすのに時間を使わないこと。
• これにお金を払う。 無料の設定変更です。監視・監査・ポートフォリオダッシュボードは正当に有料ですが、単一のヘッダーの追加は違います。

IT担当へ渡す内容

技術的なまとめ：この検査はHTTPレスポンスヘッダーを調べ、X-Content-Type-Optionsが存在し、その（大文字小文字を区別しない）値にnosniffが含まれるとき合格します—CDNとオリジンの両方が設定する複数送信元のnosniff, nosniffの場合を含みます。欠けている、またはnosniff以外の値は不合格です。25点に値する評点付きのP2検査で、不合格時は中重大度と評価され、OWASP Top 10 A05（セキュリティ設定ミス）に対応します。是正は、すべてのレスポンスに適用する単一の静的レスポンスヘッダーで、パラメータも有効な代替値もありません。サイト全体のカバーにはエッジ（CDN）で、またはエラーレスポンスにも出るようalwaysセマンティクスでウェブサーバーに設定し、レスポンスヘッダーで確認してください。

よくある質問