HOME >> 情報セキュリティ >> 脆弱性対策 >> 知っていますか?脆弱性 (ぜいじゃくせい) >> 5. OS コマンド・インジェクション

5. OS コマンド・インジェクション

2007年7月12日 掲載

イントロダクション

C社はPCの周辺機器の製造販売会社です。
ウェブサイトでは製品情報やサポート情報などを公開していました。
広報部ウェブサイト担当Y氏は毎日ユーザからのお問合せを確認してします。

Y氏 「最近ウェブサイトの表示が遅いなぁ。
何か原因があるのかなぁ?」

第三者 「お宅のウェブサイトから大量のアクセスが来ていて、うちのウェブサイトが止まりそうなんだけど、どういうことなの?!なんとかしてくださいよ!」

Y氏 「ウェブサイトが止まりそうな大量のアクセスなんてうちからできるはずないですよ。」

第三者 「そうはいっても、調べたところ、お宅のウェブサイトからのアクセスなのは間違いないんですよ。」
「とにかく、至急対応してください!」

 C社では被害の拡大防止のため、ウェブサイトをネットワークから切り離すことで対応しました。
この間、ウェブサイトの公開ができず、業務に多大な支障が生じてしまいました。

Y氏 「困ったな。研究所の博士に聞いてみよう。」
「博士、うちから攻撃なんてした覚えがないし、いったいどういうことなんでしょう?」

博士 「これはOS コマンド・インジェクション攻撃をされてしまったようじゃな。」」

“OS”=Operetaing System:基本ソフトウェア

Y氏OS コマンド・インジェクション?」

“インジェクション”=“挿入する(injection)”の意味


OS コマンド・インジェクションとは?

博士
「OSコマンドとは、基本ソフトウェア(OS)を操作するための命令(コマンド)のことじゃ。」
「攻撃者からOSコマンドを不正に埋め込まれた(インジェクション)要求を受け取ると、攻撃者によって、基本ソフトウェア(OS)を不正に操作されてしまう場合があるのじゃ。」
「このような問題をOS コマンド・インジェクションと呼ぶのじゃ。」

攻撃のイメージ

攻撃者 「乗っ取ったぞ!」
「他のウェブサイトなどを攻撃してやろう…。」


OS コマンド・インジェクションの具体的な攻撃例

乗っ取られたサーバからの攻撃のイメージ

博士
「OSコマンドが実行されてしまうと、ウェブサイトのデータの改ざん、重要情報の漏洩など、ウェブサイトが提供するサービスがストップしかねない攻撃や、最悪ではウェブサイトが乗っ取られて、他のウェブサイト等への攻撃の踏み台にされたりすることもあるんじゃな。」
「攻撃された側からは、踏み台にされたウェブサイトの足跡しか見えないんじゃ。」

攻撃の足跡のイメージ

博士 「踏み台にされただけの被害者も、攻撃された側からすると、加害者ということになってしまうんじゃよ。」

Y氏 「つまり、うちの会社のウェブサイトが、知らない間に加害者になってしまったということですね…。」

博士 「そのとおりじゃ。こうなってしまうと、会社の信用も低下してしまうのじゃ。」

博士 「対策は、IPAのウェブサイトの脆弱性ごとの対策ページを参照するのじゃ。」