Posted by Kousukei
はじめに (対象読者・この記事でわかること)
対象読者は、Node.jsを使用してWebアプリケーションを開発している開発者、特にAWS EC2上でサービスを運用しているエンジニアです。また、クライアントのIPアドレス取得に課題を抱えている方にもおすすめです。
本記事では、EC2上で動作するNode.jsアプリケーションでクライアントのグローバルIPアドレスを正確に取得する方法について解説します。具体的には、Expressフレームワークを使用した基本的なIP取得方法から、ロードバランサーやプロキシを経由する場合の設定方法までを網羅します。さらに、実装中に遭遇する可能性のある問題とその解決策も提供するため、読者はすぐに実践的な知識を得られるでしょう。IPアドレス取得はアクセス解析やセキュリティ対策において重要な要素であるため、本記事で学ぶ内容は多くのWeb開発現場で役立つはずです。
前提知識
この記事を読み進める上で、以下の知識があるとスムーズです。 - Node.jsの基本的な知識 - Expressフレームワークの基本的な使い方 - AWS EC2の基本的な構成 - HTTPプロトコルの基本的な理解
EC2環境でのIPアドレス取得の課題と背景
Webアプリケーション開発において、クライアントのIPアドレスを取得することは多岐にわたる目的で重要です。アクセス解析、不正アクセスの検知、地域別コンテンツの表示制御、セキュリティ対策など、多くのユースケースが考えられます。特にEC2のようなクラウド環境では、直接サーバーにアクセスするケースは稀で、通常はロードバランサーやCDN、リバースプロキシなどを経由してアクセスが到達します。
このような環境下では、リクエストのたびにクライアントのIPアドレスが書き換えられるため、サーバーアプリケーション側で適切な設定を行わないと正しいIPアドレスを取得できません。この問題を解決するために、HTTPヘッダーの「X-Forwarded-For」が広く利用されています。このヘッダーには、リクエストが経由した全てのプロキシサーバーのIPアドレスが記録されており、最後の要素が元のクライアントのIPアドレスとなります。
Express.jsのようなNode.jsのフレームワークでは、このヘッダーを適切に処理するための仕組みが提供されていますが、セキュリティ上の問題から全てのヘッダーを信頼するわけにはいきません。どのプロキシを信頼するかを明示的に設定することが重要です。本記事では、これらの背景を理解した上で、実際の実装方法を段階的に解説します。
実装方法:Express.jsを使用したIPアドレス取得
ステップ1:基本的なIP取得方法
まずは、Express.jsを使用した基本的なIP取得方法から見ていきましょう。Expressでは、リクエストオブジェクトのipプロパティからクライアントのIPアドレスを直接取得できます。
以下に基本的な実装例を示します:
Javascriptconst express = require('express'); const app = express(); app.get('/', (req, res) => { // クライアントのIPアドレスを取得 const clientIP = req.ip; console.log('Client IP:', clientIP); res.send(`Your IP address is: ${clientIP}`); }); const PORT = process.env.PORT || 3000; app.listen(PORT, () => { console.log(`Server is running on port ${PORT}`); });
このコードでは、req.ipプロパティを使用してクライアントのIPアドレスを取得しています。この方法は、ロードバランサーやプロキシを経由せずに直接アクセスされる場合には有効です。
しかし、EC2環境では通常、ロードバランサーやリバースプロキシを経由してアクセスが到達するため、このままではロードバランサーのIPアドレスが取得されてしまいます。そのため、次のステップでは、これらのインターネットゲートウェイを経由する場合の設定方法を解説します。
ステップ2:ロードバランサー/プロキシを経由する場合の設定方法
ロードバランサーやプロキシを経由してアクセスが到達する場合、クライアントのIPアドレスはX-Forwarded-Forヘッダーに保存されています。Expressでは、このヘッダーを適切に処理するためにtrust proxy設定を行う必要があります。
AWS ELB/ALBでの設定
AWSのElastic Load Balancer(ELB)またはApplication Load Balancer(ALB)を使用している場合、以下のように設定します:
Javascriptconst express = require('express'); const app = express(); // ロードバランサーを信頼する設定 app.set('trust proxy', true); app.get('/', (req, res) => { // 信頼できるプロキシ経由のIPを取得 const clientIP = req.ip; console.log('Client IP:', clientIP); // X-Forwarded-Forヘッダーから直接IPを取得することも可能 const forwardedFor = req.headers['x-forwarded-for']; console.log('X-Forwarded-For:', forwardedFor); res.send(`Your IP address is: ${clientIP}`); }); const PORT = process.env.PORT || 3000; app.listen(PORT, () => { console.log(`Server is running on port ${PORT}`); });
app.set('trust proxy', true)を設定することで、ExpressはX-Forwarded-Forヘッダーを信頼し、クライアントの実際のIPアドレスをreq.ipで取得できるようになります。
CloudFrontでの設定
CloudFrontを使用している場合、設定は少し異なります。CloudFrontはIPアドレスを別の形式で転送するため、以下のように設定します:
Javascriptconst express = require('express'); const app = express(); // CloudFrontを信頼する設定 app.set('trust proxy', function (ip) { // CloudFrontのIPアドレス範囲を指定 return ip.startsWith('13.32.') || ip.startsWith('13.33.') || // ... 他のCloudFrontのIPアドレス範囲 ... ip.startsWith('13.255.'); }); app.get('/', (req, res) => { const clientIP = req.ip; console.log('Client IP:', clientIP); res.send(`Your IP address is: ${clientIP}`); }); const PORT = process.env.PORT || 3000; app.listen(PORT, () => { console.log(`Server is running on port ${PORT}`); });
CloudFrontのIPアドレス範囲は広いため、実際の運用では、AWSが提供するIPアドレスリストを動的に取得して設定する方法が推奨されます。
ステップ3:セキュリティ上の考慮点と実装例
IPアドレスの取得において最も重要なのはセキュリティです。X-Forwarded-Forヘッダーは簡単に偽造できるため、信頼できるプロキシのみを許可する必要があります。
以下にセキュアなIP取得の実装例を示します:
Javascriptconst express = require('express'); const app = express(); // 信頼できるプロキシのIPアドレスリスト const trustedProxies = [ '13.32.0.0/11', // CloudFront '13.35.0.0/16', // 他の信頼できるプロキシのIPアドレス範囲を追加 '10.0.0.0/8', // 内部ネットワーク '172.16.0.0/12', // 内部ネットワーク '192.168.0.0/16' // 内部ネットワーク ]; // IPアドレスが信頼できるプロキシの範囲内かを判定する関数 function isTrustedProxy(ip) { for (const range of trustedProxies) { const [network, prefixLength] = range.split('/'); const mask = (-1 << (32 - parseInt(prefixLength))) >>> 0; const ipInt = ip.split('.').reduce((acc, octet) => (acc << 8) + parseInt(octet), 0) >>> 0; const networkInt = network.split('.').reduce((acc, octet) => (acc << 8) + parseInt(octet), 0) >>> 0; if ((ipInt & mask) === (networkInt & mask)) { return true; } } return false; } // カスタムのtrust proxy設定 app.set('trust proxy', (ip) => isTrustedProxy(ip)); // ミドルウェアでIPアドレスを検証 app.use((req, res, next) => { // クライアントのIPアドレスを取得 const clientIP = req.ip; // IPアドレスの検証や記録を行う console.log(`Request from IP: ${clientIP}`); // IPアドレスベースのアクセス制御が必要な場合はここで実装 // 例: 特定のIPアドレスからのアクセスを拒否 if (clientIP === '123.456.789.000') { return res.status(403).send('Forbidden'); } next(); }); app.get('/', (req, res) => { const clientIP = req.ip; res.send(`Your IP address is: ${clientIP}`); }); const PORT = process.env.PORT || 3000; app.listen(PORT, () => { console.log(`Server is running on port ${PORT}`); });
この実装では、信頼できるプロキシのIPアドレス範囲をリストとして定義し、クライアントからのリクエストがこれらのプロキシ経由であることを検証しています。また、IPアドレスベースのアクセス制御も簡単に実装できるようにしています。
ハマった点やエラー解決
X-Forwarded-Forヘッダーの偽造対策
X-Forwarded-Forヘッダーはクライアント側から簡単に偽造できます。例えば、以下のようにcurlコマンドを使用して偽造したヘッダーを送信できます:
Bashcurl -H "X-Forwarded-For: 192.0.2.123" http://your-server.com
このリクエストでは、サーバー側では192.0.2.123がクライアントのIPアドレスとして認識されてしまいます。これを防ぐためには、信頼できるプロキシからのリクエストのみを許可する設定が必要です。
トラストできるプロキシの設定方法
Expressのtrust proxy設定を誤ると、セキュリティ上の問題が発生します。例えば、app.set('trust proxy', true)のように全てのプロキシを信頼してしまうと、悪意のあるクライアントが偽造したX-Forwarded-Forヘッダーを信頼してしまう可能性があります。
適切な設定は、使用しているロードバランサーやCDNのIPアドレス範囲を指定することです。例えば、AWS ELB/ALBを使用している場合は、以下のように設定します:
Javascript// ELB/ALBのIPアドレス範囲を指定 app.set('trust proxy', ['10.0.0.0/8', '172.16.0.0/12', '192.168.0.0/16']);
複数のプロキシを経由する場合は、配列形式で複数のIPアドレス範囲を指定できます。
解決策
IPアドレス取得におけるセキュリティ問題を解決するための具体的な対策を以下に示します:
-
信頼できるプロキシのIPアドレスリストを正確に設定する - 使用しているロードバランサーやCDNのIPアドレス範囲を正確に把握し、それらのみを信頼するように設定します。 - AWS環境では、以下の方法でIPアドレスリストを取得できます:
- ELB/ALB: AWS公式ドキュメント
- CloudFront: AWS公式ドキュメント
-
IPアドレスの検証と記録 - 取得したIPアドレスをログに記録し、異常なアクセスパターンを監視します。 - 必要に応じて、IPアドレスベースのアクセス制御を実装します。
-
HTTPSの使用 - HTTPSを使用することで、中間者攻撃を防ぎ、通信の安全性を確保します。
-
セキュリティヘッダーの設定 - X-Forwarded-For以外にも、X-Real-IPなどのヘッダーを併用してIPアドレスの検証を行うことができます。
-
定期的なセキュリティ監査 - IPアドレス取得の実装を定期的に見直し、最新のセキュリティベストプラクティスに沿っているか確認します。
これらの対策を実装することで、EC2環境でのクライアントIPアドレス取得を安全に行えるようになります。
まとめ
本記事では、EC2上で動作するNode.jsアプリケーションでクライアントのグローバルIPアドレスを正確に取得する方法について解説しました。Expressフレームワークを使用した基本的なIP取得方法から始め、ロードバランサーやプロキシを経由する場合の設定方法までを網羅しました。
重要なポイントは以下の通りです:
- Expressでは
req.ipプロパティでクライアントのIPアドレスを取得できますが、プロキシを経由する場合はtrust proxy設定が必要です。 - X-Forwarded-Forヘッダーは便利ですが、簡単に偽造できるため、信頼できるプロキシのみを許可する設定が重要です。
- セキュリティを考慮した実装として、信頼できるプロキシのIPアドレスリストを正確に設定し、必要に応じてアクセス制御を実装する必要があります。
IPアドレス取得はアクセス解析やセキュリティ対策において不可欠な要素です。本記事で紹介した手法を適切に活用することで、より安全で正確なIPアドレス取得を実現できるでしょう。今後は、取得したIPアドレスを活用したIPジオロケーションサービスとの連携や、高度なアクセス制御の実装などについても紹介していきます。
参考資料
本記事を作成するにあたり、以下の資料を参考にしました: