5. OS コマンド・インジェクション
運営者の方
- 開発時 (問題の原因となる脆弱性を作りこまない)
- ウェブアプリケーションを開発する場合には「安全なウェブサイトの作り方」や「IPA ISEC セキュア・プログラミング講座」を参考にした上、必要な安全対策を実施し、脆弱性を作りこまないように開発することをおすすめします。開発を委託する場合にも、自社で開発する場合と同様に、上記の対策を実施することをおすすめします。
- 開発したものを公開したり、納品されたものを検収したりする際には、「安全なウェブサイトの作り方」のチェックリストを利用して、自社のウェブサイトにおけるセキュリティ実装の対応状況を確認することができます。
- 問題の解決にソフトウェアの改修が必要な場合がありますので、改修のための予算を確保しておくことをおすすめします。また、開発を委託している場合には、瑕疵担保等の責任範囲を明確にしておくことをおすすめします。
- 運用時 (被害にあったら気づけるように)
- すばやく問題に気づいて対処し、被害を最小限に抑えるために、ウェブサイトへのアクセスを監視することをおすすめします。
- 運用中、新しい攻撃手法の発見等により、新たな問題が発生する可能性がありますので、定期的にセキュリティ監査を行うことをおすすめします。
- 問題発生時およびその後 (被害が発生したと気づいたら)
- 原因箇所を修正しましょう。すぐに修正が難しい場合には、ウェブサイトの一部や全体の公開を一時停止することを検討することをおすすめします。
- 本問題により、ウェブサイトを乗っ取られた場合、攻撃者に悪意あるプログラム等を埋め込まれてしまっている可能性があります。ウェブサイトを OS から再構築することをお勧めします。また、ウェブサイトを乗っ取られてしまうと、ウェブサイトの利用者だけでなく、他のウェブサイト等にも迷惑をかけてしまうため、ウェブサイトの公開を停止を検討することをおすすめいたします。
- ウェブサイトに個人情報等を格納していた場合、本問題により、その個人情報が漏洩した可能性があります。漏洩した個人情報の範囲の特定や顧客・取引先への対応が必要です。