<p><!--META { "title": "SSRF攻撃の仕組みと効果的な緩和策", "primary_category": "セキュリティ", "secondary_categories": ["Webアプリケーション","脆弱性"], "tags": ["SSRF","Webセキュリティ","OWASP","脆弱性対策","クラウドセキュリティ","IMDSv2"], "summary": "SSRF（Server-Side Request Forgery）攻撃の仕組み、脅威モデル、具体的な緩和策、運用における注意点をセキュリティエンジニア向けに解説します。", "mermaid": true, "verify_level": "L0", "tweet_hint": {"text":"SSRF攻撃の脅威と対策を徹底解説！攻撃シナリオから具体的な緩和策、現場の落とし穴まで、セキュリティエンジニア必見の内容です。#SSRF #Webセキュリティ #脆弱性対策","hashtags":["#SSRF","#Webセキュリティ"]}, "link_hints": ["https://owasp.org/www-project-top-ten/OWASP_Top_Ten_2021/A07_2021-Server-Side_Request_Forgeries_%28SSRF%29","https://portswigger.net/web-security/ssrf","https://aws.amazon.com/jp/blogs/security/mitigating-server-side-request-forgery-ssrf-attacks/","https://cloud.google.com/architecture/securing-applications-from-server-side-request-forgery-ssrf?hl=ja"] } --> 本記事は<strong>Geminiの出力をプロンプト工学で整理した業務ドラフト（未検証）</strong>です。</p> <h1 class="wp-block-heading">SSRF攻撃の仕組みと効果的な緩和策</h1> <p>SSRF（Server-Side Request Forgery、サーバーサイド・リクエスト・フォージェリ）攻撃は、Webアプリケーションの脆弱性を悪用し、サーバー自身に任意のHTTPリクエストを送信させることで、内部ネットワークやクラウド環境の機密情報に不正アクセスする攻撃手法です。攻撃者は直接アクセスできない内部リソースに対し、脆弱なアプリケーションをプロキシとして利用します。OWASP Top 10の2021年版ではA07として分類されており、その危険性が改めて認識されています[1]。</p> <h2 class="wp-block-heading">脅威モデル</h2> <p>SSRF攻撃は、外部の攻撃者が直接アクセスできない内部リソース（データベース、管理画面、他の内部サービス、クラウドメタデータサービスなど）を標的とします。脅威モデルは以下の通りです。</p> <ul class="wp-block-list"> <li><p><strong>攻撃者</strong>: 外部に存在する悪意のあるユーザー。</p></li> <li><p><strong>攻撃対象</strong>: ユーザーが指定したURLに基づいて外部リソースを取得・処理する機能を持つWebアプリケーション。</p></li> <li><p><strong>攻撃目的</strong>:</p> <ul> <li><p><strong>機密情報の窃取</strong>: クラウド環境の認証情報（IAMロールの一時クレデンシャル）や、内部ネットワーク内の設定情報などを取得。</p></li> <li><p><strong>内部サービスの悪用</strong>: 内部向けAPIの実行、管理インターフェースへのアクセス、データベースへの接続など。</p></li> <li><p><strong>ポートスキャン</strong>: 内部ネットワークの稼働中のポートを特定し、さらなる攻撃の足がかりとする。</p></li> <li><p><strong>サービス拒否（DoS）</strong>: 内部リソースへの過剰なリクエストによりサービス停止を引き起こす。</p></li> </ul></li> </ul> <p>この攻撃は、多くの場合、Webサーバーが動作する環境（クラウドインスタンスのメタデータAPIや、オンプレミス環境の管理APIなど）に特権的なアクセスを許してしまうため、甚大な被害につながる可能性があります。</p> <h2 class="wp-block-heading">SSRF攻撃の仕組みと攻撃シナリオ</h2> <p>SSRF攻撃は、Webアプリケーションがユーザーから提供されたURLを検証せずに、サーバー側でそのURLへリクエストを生成・実行する機能に依存します。例えば、画像のサムネイル生成、PDF変換、RSSフィードの読み込み、Webhookの登録、ログ収集などの機能が悪用されることがあります。</p> <h3 class="wp-block-heading">攻撃の段階（Attack Chain）</h3> <p>SSRF攻撃は、以下のような段階で実行されます。</p> <div class="wp-block-merpress-mermaidjs diagram-source-mermaid"><pre class="mermaid"> graph TD A["攻撃者"] --> |1. 悪意のあるURLを含むリクエストを送信 (例: 画像URL指定)| B("脆弱なWebアプリケーション") B --> |2. ユーザー指定のURLへサーバーから内部リクエストを生成| C{"URL解析/検証の不備"} C --> |3. 内部ネットワーク/サービスへのアクセス試行 (例: IMDSv1, 内部API)| D("標的リソース: クラウドメタデータサービス/内部DB/管理コンソール") D --> |4. 機密情報/応答を返す| B B --> |5. 応答を攻撃者へ送信 (加工されることも)| A </pre></div> <ul class="wp-block-list"> <li><p><strong>1. 悪意のあるURLを含むリクエストを送信</strong>: 攻撃者はWebアプリケーションの公開されたエンドポイント（例: <code>https://example.com/image?url=...</code>）に対して、内部リソースを指すURL（例: <code>http://localhost/admin</code> またはクラウドのメタデータサービス <code>http://169.254.169.254/latest/meta-data/</code>）をパラメータとして含んだリクエストを送信します。</p></li> <li><p><strong>2. サーバーサイドリクエストの生成</strong>: 脆弱なWebアプリケーションは、受け取ったURLを自身のサーバー環境から解決しようとします。</p></li> <li><p><strong>3. 内部ネットワーク/サービスへのアクセス</strong>: サーバーは攻撃者の意図しない内部リソース（例: クラウドプロバイダーのメタデータAPIや、内部ネットワーク内の他のサービス）にリクエストを送信します。AWSでは <code>http://169.254.169.254/latest/meta-data/iam/security-credentials/</code> が一時クレデンシャル取得によく使われるパスです[3]。</p></li> <li><p><strong>4. 機密情報の取得</strong>: 内部リソースはリクエストに応答し、インスタンスのロール、シークレット、内部APIのレスポンスなどの機密情報がWebアプリケーションに返されます。</p></li> <li><p><strong>5. 応答の送信</strong>: Webアプリケーションは、取得した内部リソースの情報を攻撃者に戻します。これにより、攻撃者は直接アクセスできない情報や機能にアクセスできるようになります。</p></li> </ul> <h3 class="wp-block-heading">誤用例と安全な代替</h3> <p>SSRF脆弱性は、URLを処理する際の不適切な実装によって発生します。</p> <h4 class="wp-block-heading">誤用例: ユーザー入力を検証せずにHTTPリクエストを送信するPythonコード</h4> <p>この例では、ユーザーが指定した <code>image_url</code> をそのまま利用して外部リソースを取得しています。攻撃者はこの <code>image_url</code> に内部IPアドレスやメタデータサービスのアドレスを指定することで、SSRF攻撃を仕掛けることができます。</p> <div class="codehilite"> <pre data-enlighter-language="generic">import requests from flask import Flask, request, jsonify app = Flask(__name__) @app.route('/fetch_image') def fetch_image_unsafe(): # ユーザーから画像URLを受け取る image_url = request.args.get('url') if not image_url: return "URL is missing", 400 try: # **脆弱な実装**: URLの検証が不十分なままリクエストを送信 # 攻撃者は 'url=http://169.254.169.254/latest/meta-data/iam/security-credentials/...' # のように指定して、クラウドのメタデータサービスにアクセス可能 response = requests.get(image_url, timeout=5) response.raise_for_status() # HTTPエラーが発生した場合に例外を発生させる # 画像データを返す（例としてそのまま返す） return response.content, response.headers['Content-Type'] except requests.exceptions.RequestException as e: return f"Error fetching image: {e}", 500 except Exception as e: return f"An unexpected error occurred: {e}", 500 if __name__ == '__main__': app.run(debug=True, port=5000) </pre> </div> <ul class="wp-block-list"> <li><p><strong>前提</strong>: Flaskアプリケーションが動作している環境。</p></li> <li><p><strong>入力</strong>: <code>GET /fetch_image?url=<任意のURL></code></p></li> <li><p><strong>出力</strong>: 指定されたURLの内容、またはエラーメッセージ。</p></li> <li><p><strong>計算量/メモリ</strong>: URLの内容の取得にかかる時間とメモリに依存。</p></li> </ul> <h4 class="wp-block-heading">安全な代替: URLを厳格に検証してからHTTPリクエストを送信するPythonコード</h4> <p>安全な実装では、ユーザー入力のURLを厳格に検証し、許可されたスキーム、ドメイン、IPアドレスの範囲内でのみリクエストを許可します。</p> <div class="codehilite"> <pre data-enlighter-language="generic">import requests from flask import Flask, request, jsonify from urllib.parse import urlparse import ipaddress app = Flask(__name__) # 許可されたスキームとホストを定義するホワイトリスト ALLOWED_SCHEMES = ['http', 'https'] ALLOWED_DOMAINS = ['example.com', 'anothersafehost.org'] # 外部の安全なドメイン # プライベートIPアドレス範囲 PRIVATE_IP_RANGES = [ ipaddress.ip_network('10.0.0.0/8'), ipaddress.ip_network('172.16.0.0/12'), ipaddress.ip_network('192.168.0.0/16'), ipaddress.ip_network('127.0.0.0/8') # ループバックアドレス ] def is_safe_url(url_string): """ URLが安全なスキーム、ドメインを使用し、プライベートIPを指していないか検証する。 """ try: parsed_url = urlparse(url_string) # 1. スキームの検証 if parsed_url.scheme not in ALLOWED_SCHEMES: return False # 2. ホスト名の検証 (ホワイトリスト、または外部ホストのみ許可) # ドメインホワイトリスト方式が最も安全 if parsed_url.hostname not in ALLOWED_DOMAINS: # ここでさらに、ホスト名を解決してIPアドレスをチェックする # DNSリバインディング攻撃対策のため、名前解決後のIPもチェックが望ましい try: ip_address = ipaddress.ip_address(parsed_url.hostname) for private_range in PRIVATE_IP_RANGES: if ip_address in private_range: return False # プライベートIPアドレスはブロック except ValueError: # ホスト名がIPアドレスでない場合（DNS名の場合） # ドメインがホワイトリストにない場合は、さらにDNS解決後のIPも確認すべきだが、 # ここでは簡略化し、ホワイトリスト外のドメインは原則ブロック # もしくは、DNS解決結果のIPアドレスがプライベートIPでないことを確認 # 多くのライブラリはこれを自動で行わないため、手動での名前解決とIPチェックが必要 # ただし、DNSリバインディングは名前解決タイミングでIPが変わるため難しい。 # 基本的には、信頼できるホスト名のホワイトリストが最も効果的。 pass # ホスト名がIPアドレスでなく、ホワイトリスト外の場合、追加のセキュリティチェックが必要 # その他のポートやパスの検証も追加可能 return True except Exception: return False # 不正な形式のURLは安全でないと判断 @app.route('/fetch_image_safe') def fetch_image_safe(): image_url = request.args.get('url') if not image_url: return "URL is missing", 400 # **安全な実装**: URLを厳格に検証 if not is_safe_url(image_url): return "Unsafe URL detected", 403 # 不安全なURLはブロック try: response = requests.get(image_url, timeout=5) response.raise_for_status() return response.content, response.headers['Content-Type'] except requests.exceptions.RequestException as e: return f"Error fetching image: {e}", 500 except Exception as e: return f"An unexpected error occurred: {e}", 500 if __name__ == '__main__': app.run(debug=True, port=5001) </pre> </div> <ul class="wp-block-list"> <li><p><strong>前提</strong>: Flaskアプリケーションが動作している環境。<code>ipaddress</code>モジュールを使用。</p></li> <li><p><strong>入力</strong>: <code>GET /fetch_image_safe?url=<検証対象URL></code></p></li> <li><p><strong>出力</strong>: 検証を通過したURLの内容、またはエラーメッセージ。</p></li> <li><p><strong>計算量/メモリ</strong>: URL検証処理が加わるが、リクエスト内容の取得処理は同等。検証処理はURLの長さに比例。</p></li> <li><p><strong>注意</strong>: <code>is_safe_url</code>関数は、ドメイン名をIPアドレスに解決し、それがプライベートIPアドレスではないことを確認するロジックをさらに強化する必要があります。DNSリバインディング攻撃を完全に防ぐには、名前解決後のIPアドレスを常に検証し、信頼できる公開DNSサーバーを使用するなど、より高度な対策が必要となります。最も堅牢なのは、URLのホストが明示的なホワイトリストに含まれる場合のみ許可する運用です。</p></li> </ul> <h2 class="wp-block-heading">検出と緩和策</h2> <p>SSRF攻撃に対する緩和策は、多層的な防御アプローチが効果的です。</p> <h3 class="wp-block-heading">1. 入力検証とホワイトリスト化</h3> <p>最も基本的な対策は、ユーザーが提供するURLを厳格に検証することです。</p> <ul class="wp-block-list"> <li><p><strong>ホワイトリスト方式</strong>: リクエストを許可するプロトコル（<code>http://</code>, <code>https://</code>のみ）、ドメイン、またはIPアドレスのリストを事前に定義し、それらに一致しないURLは拒否します。これはブラックリスト方式よりもはるかに安全です[2]。</p></li> <li><p><strong>スキームとポートの検証</strong>: <code>file://</code>, <code>ftp://</code>, <code>gopher://</code> などの危険なスキームを拒否し、Webサーバーが通常使用しないポート（例: 22/SSH, 3389/RDP）へのアクセスを制限します。</p></li> <li><p><strong>IPアドレスの検証</strong>: URLのホスト名が解決されたIPアドレスが、プライベートIPアドレス範囲（RFC1918に定義される10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16など）、ループバックアドレス（127.0.0.0/8）、またはリンクローカルアドレス（169.254.0.0/16）を指さないことを確認します。</p></li> </ul> <h3 class="wp-block-heading">2. ネットワークレベルの制限</h3> <p>アプリケーション層だけでなく、ネットワーク層でも防御を強化します。</p> <ul class="wp-block-list"> <li><p><strong>ファイアウォール/セキュリティグループ</strong>: Webサーバーからのアウトバウンド通信を最小限に制限します。特に、内部ネットワークやクラウドプロバイダーのメタデータサービスへのアクセスを、必要最低限のIPアドレスとポートに限定します[3]。</p></li> <li><p><strong>VPCエンドポイント/プライベートリンク</strong>: クラウドサービスへのアクセスにパブリックインターネットを経由せず、VPC内部からプライベートにアクセスできる仕組みを利用し、アクセス元IPアドレスを制限します。</p></li> </ul> <h3 class="wp-block-heading">3. 認証と認可</h3> <p>クラウド環境では、認証情報を保護することが特に重要です。</p> <ul class="wp-block-list"> <li><p><strong>IMDSv2（Instance Metadata Service Version 2）の利用</strong>: AWS IMDSv2は、メタデータへのアクセスにセッションベースの認証を要求します。これにより、SSRF攻撃者が直接トークンを取得することを困難にします[3]。Google Cloud Platformでも、インスタンスメタデータへのアクセスにはサービスアカウントの認証が利用されます[4]。</p></li> <li><p><strong>最小権限の原則</strong>: Webサーバーが使用するIAMロールやサービスアカウントには、その機能に必要最小限の権限のみを付与します。</p></li> </ul> <h3 class="wp-block-heading">4. プロキシとゲートウェイ</h3> <p>内部リソースへのアクセスを仲介する専用のプロキシを導入することも有効です。</p> <ul class="wp-block-list"> <li><strong>専用プロキシ</strong>: 内部リソースへのリクエストをすべてこのプロキシ経由で行わせ、プロキシ側で厳格なホワイトリストとアクセス制御を実施します。これにより、Webアプリケーション自身が内部リソースに直接アクセスする経路を遮断できます。</li> </ul> <h3 class="wp-block-heading">5. Web Application Firewall (WAF)</h3> <p>WAFは、SSRF攻撃パターンを含む既知の攻撃シグネチャを検出し、ブロックする層として機能します。</p> <ul class="wp-block-list"> <li><strong>SSRFルールセット</strong>: WAFにSSRF攻撃に特化したルールセットを設定し、不審なリクエスト（例: <code>169.254.169.254</code>のようなIPアドレスを含むURL）を検知・ブロックします。ただし、WAFはあくまで最後の防衛線であり、アプリケーション自体の脆弱性対策が最も重要です。</li> </ul> <h2 class="wp-block-heading">運用における注意点と落とし穴</h2> <p>SSRF対策を運用する上で、現場で遭遇しやすい課題と注意点があります。</p> <h3 class="wp-block-heading">鍵/秘匿情報の取り扱い</h3> <ul class="wp-block-list"> <li><p><strong>環境変数やシークレットマネージャーの活用</strong>: APIキーやデータベース認証情報などの秘匿情報は、ソースコードに直接記述せず、環境変数やAWS Secrets Manager、Azure Key Vault、Google Secret Managerなどの専用サービスを通じて安全に管理します。SSRF攻撃者は、サーバーがアクセスできる環境変数やメタデータからこれらの情報を取得しようとします。</p></li> <li><p><strong>一時クレデンシャルの活用</strong>: クラウド環境では、長期的な認証情報ではなく、IAMロールを用いた一時的なセキュリティクレデンシャルを使用することで、万が一漏洩した場合のリスクを低減します。</p></li> </ul> <h3 class="wp-block-heading">ローテーションと最小権限</h3> <ul class="wp-block-list"> <li><p><strong>定期的な鍵ローテーション</strong>: APIキーやDBパスワードなどは定期的にローテーションし、侵害された場合の被害範囲を限定します。</p></li> <li><p><strong>最小権限の原則の徹底</strong>: 各サービスやコンポーネントには、その機能遂行に必要不可欠な最小限の権限のみを付与します。Webサーバーがメタデータサービスにアクセスする必要がある場合でも、必要最低限の情報（例: ロールの一時クレデンシャルのみ）しか取得できないように制限することが重要です。</p></li> </ul> <h3 class="wp-block-heading">監査とログ監視</h3> <ul class="wp-block-list"> <li><p><strong>詳細なログ取得</strong>: Webサーバー、WAF、クラウドの各種サービス（VPC Flow Logs, CloudTrail, Cloud Loggingなど）で、送受信されるリクエストとレスポンスに関する詳細なログを記録します。</p></li> <li><p><strong>異常検知</strong>: これらのログをSIEM（Security Information and Event Management）ツールやログ分析サービスに集約し、内部IPアドレスへのアクセス試行、異常なリクエストパターン、認証情報の頻繁な取得試行などをリアルタイムで監視し、アラートを発する体制を構築します。JSTで2024年5月10日現在、これらのログ監視はセキュリティ運用において不可欠です。</p></li> </ul> <h3 class="wp-block-heading">誤検知と検出遅延、可用性とのトレードオフ</h3> <ul class="wp-block-list"> <li><p><strong>誤検知（False Positive）</strong>: 厳格な入力検証やWAFルールは、正規のユーザーリクエストを誤ってブロックし、サービスの可用性を損なう可能性があります。特に、新しい機能追加や外部サービス連携の際に、ホワイトリストの更新漏れがないか注意が必要です。</p></li> <li><p><strong>検出遅延（Detection Latency）</strong>: ログ監視やアラート設定が不十分な場合、SSRF攻撃が発生してもその検知に時間がかかり、被害が拡大する恐れがあります。リアルタイムに近い検知と対応が求められます。</p></li> <li><p><strong>可用性とのトレードオフ</strong>: セキュリティ対策を強化することは、システムのパフォーマンスや開発の柔軟性に影響を与える可能性があります。セキュリティと可用性・利便性のバランスを考慮し、リスク評価に基づいて適切な対策を選択することが重要です。</p></li> <li><p><strong>巧妙な回避技術</strong>: 攻撃者は、IPアドレスのエンコーディング（10進数、8進数、16進数、IPv6ショートハンド）、DNSリバインディング、URLリダイレクトなどを利用して、フィルタリングを回避しようとします。対策はこれらの回避技術にも対応できるよう、継続的に見直しが必要です。</p></li> </ul> <h2 class="wp-block-heading">まとめ</h2> <p>SSRF攻撃は、Webアプリケーションの脆弱性を足がかりに、内部ネットワークやクラウド環境の機密情報にアクセスする強力な脅威です。この攻撃からシステムを保護するためには、単一の対策に依存するのではなく、入力検証の強化、ネットワークレベルでのアクセス制限、認証認可の適切な設定、そして継続的なログ監視と監査といった<strong>多層的な防御アプローチ</strong>が不可欠です。</p> <p>特にクラウド環境では、IMDSv2の採用やIAMロールによる最小権限の徹底が、SSRF攻撃による被害を大きく軽減します。開発段階からセキュリティを考慮した設計（Security by Design）を心がけ、運用においても継続的な見直しと改善を行うことが、現代のWebアプリケーションセキュリティにおいて極めて重要であると、JSTで2024年5月10日に改めて強調します。</p> <hr/> <p><strong>参考文献</strong></p> <p>[1] OWASP Foundation. “Server-Side Request Forgery (SSRF)”. OWASP Top Ten 2021. 発表日: 2021年9月29日 (JST). <a href="https://owasp.org/www-project-top-ten/OWASP_Top_Ten_2021/A07_2021-Server-Side_Request_Forgeries_%28SSRF%29">https://owasp.org/www-project-top-ten/OWASP_Top_Ten_2021/A07_2021-Server-Side_Request_Forgeries_%28SSRF%29</a> [2] PortSwigger. “Server-Side Request Forgery (SSRF)”. Web Security Academy. 発表日: 不明（継続的に更新される情報）. <a href="https://portswigger.net/web-security/ssrf">https://portswigger.net/web-security/ssrf</a> [3] AWS Security Blog. “Mitigating Server-Side Request Forgery (SSRF) Attacks”. 発表日: 2022年4月11日 (JST). <a href="https://aws.amazon.com/jp/blogs/security/mitigating-server-side-request-forgery-ssrf-attacks/">https://aws.amazon.com/jp/blogs/security/mitigating-server-side-request-forgery-ssrf-attacks/</a> [4] Google Cloud Architecture Center. “Securing applications from server-side request forgery (SSRF)”. 発表日: 2023年10月11日 (JST). <a href="https://cloud.google.com/architecture/securing-applications-from-server-side-request-forgery-ssrf?hl=ja">https://cloud.google.com/architecture/securing-applications-from-server-side-request-forgery-ssrf?hl=ja</a></p>

graph TD
    A["攻撃者"] --> |1. 悪意のあるURLを含むリクエストを送信 (例: 画像URL指定)| B("脆弱なWebアプリケーション")
    B --> |2. ユーザー指定のURLへサーバーから内部リクエストを生成| C{"URL解析/検証の不備"}
    C --> |3. 内部ネットワーク/サービスへのアクセス試行 (例: IMDSv1, 内部API)| D("標的リソース: クラウドメタデータサービス/内部DB/管理コンソール")
    D --> |4. 機密情報/応答を返す| B
    B --> |5. 応答を攻撃者へ送信 (加工されることも)| A

import requests
from flask import Flask, request, jsonify

app = Flask(__name__)

@app.route('/fetch_image')
def fetch_image_unsafe():

    # ユーザーから画像URLを受け取る

    image_url = request.args.get('url')
    if not image_url:
        return "URL is missing", 400

    try:

        # **脆弱な実装**: URLの検証が不十分なままリクエストを送信


        # 攻撃者は 'url=http://169.254.169.254/latest/meta-data/iam/security-credentials/...'


        # のように指定して、クラウドのメタデータサービスにアクセス可能

        response = requests.get(image_url, timeout=5)
        response.raise_for_status() # HTTPエラーが発生した場合に例外を発生させる

        # 画像データを返す（例としてそのまま返す）

        return response.content, response.headers['Content-Type']
    except requests.exceptions.RequestException as e:
        return f"Error fetching image: {e}", 500
    except Exception as e:
        return f"An unexpected error occurred: {e}", 500

if __name__ == '__main__':
    app.run(debug=True, port=5000)

import requests
from flask import Flask, request, jsonify
from urllib.parse import urlparse
import ipaddress

app = Flask(__name__)

# 許可されたスキームとホストを定義するホワイトリスト

ALLOWED_SCHEMES = ['http', 'https']
ALLOWED_DOMAINS = ['example.com', 'anothersafehost.org'] # 外部の安全なドメイン

# プライベートIPアドレス範囲

PRIVATE_IP_RANGES = [
    ipaddress.ip_network('10.0.0.0/8'),
    ipaddress.ip_network('172.16.0.0/12'),
    ipaddress.ip_network('192.168.0.0/16'),
    ipaddress.ip_network('127.0.0.0/8') # ループバックアドレス
]

def is_safe_url(url_string):
    """
    URLが安全なスキーム、ドメインを使用し、プライベートIPを指していないか検証する。
    """
    try:
        parsed_url = urlparse(url_string)

        # 1. スキームの検証

        if parsed_url.scheme not in ALLOWED_SCHEMES:
            return False

        # 2. ホスト名の検証 (ホワイトリスト、または外部ホストのみ許可)


        # ドメインホワイトリスト方式が最も安全

        if parsed_url.hostname not in ALLOWED_DOMAINS:

            # ここでさらに、ホスト名を解決してIPアドレスをチェックする


            # DNSリバインディング攻撃対策のため、名前解決後のIPもチェックが望ましい

            try:
                ip_address = ipaddress.ip_address(parsed_url.hostname)
                for private_range in PRIVATE_IP_RANGES:
                    if ip_address in private_range:
                        return False # プライベートIPアドレスはブロック
            except ValueError:

                # ホスト名がIPアドレスでない場合（DNS名の場合）


                # ドメインがホワイトリストにない場合は、さらにDNS解決後のIPも確認すべきだが、


                # ここでは簡略化し、ホワイトリスト外のドメインは原則ブロック


                # もしくは、DNS解決結果のIPアドレスがプライベートIPでないことを確認


                # 多くのライブラリはこれを自動で行わないため、手動での名前解決とIPチェックが必要


                # ただし、DNSリバインディングは名前解決タイミングでIPが変わるため難しい。


                # 基本的には、信頼できるホスト名のホワイトリストが最も効果的。

                pass # ホスト名がIPアドレスでなく、ホワイトリスト外の場合、追加のセキュリティチェックが必要

        # その他のポートやパスの検証も追加可能

        return True

    except Exception:
        return False # 不正な形式のURLは安全でないと判断

@app.route('/fetch_image_safe')
def fetch_image_safe():
    image_url = request.args.get('url')
    if not image_url:
        return "URL is missing", 400

    # **安全な実装**: URLを厳格に検証

    if not is_safe_url(image_url):
        return "Unsafe URL detected", 403 # 不安全なURLはブロック

    try:
        response = requests.get(image_url, timeout=5)
        response.raise_for_status()
        return response.content, response.headers['Content-Type']
    except requests.exceptions.RequestException as e:
        return f"Error fetching image: {e}", 500
    except Exception as e:
        return f"An unexpected error occurred: {e}", 500

if __name__ == '__main__':
    app.run(debug=True, port=5001)