Revision Ver-3

Pillowのopen()、verify()、load()をセキュリティ観点で理解する

画像アップロードは「画像ファイルを受け取る」だけではなく、外部入力をデコーダ（パーサ）に通す作業です。そこでPillowの3つのメソッドは、機能説明そのものよりもいつ呼び出すか（＝攻撃面をいつ開くか）が重要になります。

`open()`は「ピクセルを読み込む関数」ではない

Image.open()は遅延動作です。つまり、ファイルを「開いて識別」するところまでで止まり、ピクセルデータはまだ読み込まないことがあります。また、ファイルハンドルが開いたまま残ることもあります。

セキュリティ／運用の観点でopen()をうまく使う流れはシンプルです。

つまり、open()は「デコード前に判断できる情報を取り出すツール」として安全に使うべきです。

Pillowのverify()は「ファイルが壊れているか」を確認しようとしますが、実際の画像データをデコードせずに検査します。問題があれば例外を投げ、verify()後に画像を使うにはファイルを再度開く必要があります。

セキュリティ的な結論は2点です。

メリット：デコード（＝重い処理）を避けつつ、「壊れたファイル」を高速に除外できる
限界：verify()の通過は「安全」ではなく、「少なくとも今すぐ致命的に壊れてはいない」に近い。デコードを完了しないため、load()の段階で問題が表れる可能性があります。

load()は実際にデコード（圧縮展開を含む）を行い、ピクセルをメモリに展開する段階です。ここがそのままDoS（リソース枯渇）攻撃の入口になります。見た目のファイルサイズが小さくても、デコード後に極端に大きくなる可能性があります。

Pillowはこのデコンプレッションボム（decompression bomb）リスクを警告／例外で扱い、デフォルトの閾値（例：おおよそ128Mpx程度）などの保護機構を持っています。

Djangoも同じ理由で、画像アップロード検証でload()ではなくverify()を使用します。ソースには「load()は全画像をメモリに載せてDoSベクターになる」という趣旨のコメントがあり、実際にImage.open()後にverify()を呼び出します。

DjangoのフォームImageField検証は内部でImage.open() + verify()を実行します。DRFのserializers.ImageFieldも「Django実装に委譲する」コメント付きでDjango側の検証を呼び出すフローを持ちます。

したがってDRFでserializers.ImageFieldを既に使っている場合：

「壊れているか確認」目的だけでvalidate()内でverify()を再度呼ぶのは、ほぼ重複処理になります。
ビジネス検証／追加のセキュリティ検証を強くカスタマイズしたいなら、ImageFieldではなくFileFieldで受け取り（検証パイプラインを自分で設計）コストと責任範囲を明確にする選択のほうがクリーンです。

アップロードファイルを安全に処理する図

最も現実的な答えはこれです。

「アップロード元をそのまま使わず、サーバーがデコードして再保存した“生成物”だけを使う」

この戦略のメリットは「サーバーが最終出力の形を制御できる」点です。元ファイルに含まれていた不要なメタデータや不自然な構造を大部分取り除けます。

ただし再エンコードは結局load()相当のデコードを含みます。したがってピクセル数／メモリ制限（デコンプレッションボム対策）などのガードレールを事前に設定し、可能ならワーカー／隔離プロセスで実行するのが安全です。

関連記事：