オフィスの電話回線のご相談はお気軽にお問い合わせください。
防犯カメラ導入のご相談はお気軽にお問い合わせください。
テレワーク導入のご相談はお気軽にお問い合わせください
ホームページ制作のご相談はお気軽にお問い合わせください。
企業向けパソコン導入のご相談はお気軽にお問い合わせください。
ウォーターサーバー導入のご相談はお気軽にお問い合わせください。
全メーカー対応!新品・中古ビジネスフォンを激安で販売
新品・中古複合機が業界最安値!リースや保守も安心価格
社用携帯の新規契約・乗り換え・機種変更が圧倒的な安さ
もうビジネスフォン不要!社員のスマホで電話業務が完結
サイバー攻撃を遮断!企業を守るセキュリティ商品を完備
ビジネスフォンの各種工事を格安&スピーディに一括対応
オフィスのネットワーク環境構築から配線工事までお任せ
有資格のプロが対応!オフィスの電気工事をフルサポート
オフィス・事務所移転を低コスト&スピーディに徹底支援
IT専門家による経営革新&業務改善コンサルで課題を解決
SEO集客で成功へ導く!丸投げOK&本格運用の”FUKUJIN”
高寿命・省エネのLED蛍光灯でオフィスの電気代を削減
店舗やオフィスの集客力UPに効果的な電光掲示板を販売
この記事ではOSコマンドインジェクション攻撃の仕組み、事例、対策をご紹介していきます。
OSコマンドインジェクション攻撃を受けないための対策が7分程度でわかりますのでご覧ください。
この記事の目次
「OSコマンドインジェクション攻撃」を知るためには、「シェル」と「パラメータ」を理解しなくてはなりません。
シェル
人間が入力したものをコンピュータわかる言語で伝えるソフトウェア。
パラメータ
外から入ってくる値のことで、結果に影響が出るもの。 例)ECサイトで住所や名前を入力
Webアプリケーション内では入力されたメールアドレスなどと一緒に、プログラムに命令する文字列が組み立てられます。 そのためシェルはこの悪意ある文字列の命令をそのまま解釈し、「パスワードを盗め」などの命令を実行してしまうのです。
OSコマンドインジェクション攻撃を受けると以下のような被害を受けます。
DDoS攻撃はインターネットを通じて複数のPCから、攻撃相手のPCなどに大量の不正なデータを送りつけ、相手のPCを機能停止させることです。
詳しくDDoS攻撃を知りたい方は以下の記事をご覧ください。
DoS攻撃とは?【種類・事例・対策法】をわかりやすく解説
1行プログラムを書くことで複数のプログラムを起動できるソフトウェアの「シェル」が、OSコマンドインジェクション攻撃を受ける原因です。 プログラムで「シェル」を呼び出せるようにしていると、OSコマンドインジェクション攻撃を受けやすくなります。
2016年日本テレビにおいて、モバイルサイトで利用する「ケイタイキット」と呼ばれるソフトウェアが、OSコマンドインジェクション攻撃を受けました。 これは「ケイタイキット」に含まれる脆弱性が原因であると、発表されています。
攻撃者は「ケイタイキット」上に不正な遠隔操作プログラムを設置し、それを利用してシステム内部を操作することで、不正に情報を取得した事例です。
このOSコマンドインジェクション攻撃の結果、最大で43万件に及ぶ個人情報(氏名・住所・電話番号など)が、外部に流出しました。
日本テレビでは速やかに、不正アクセスが行われる原因となった脆弱性のあるソフトウェアを削除し、個人情報などのデータを別の安全な場所に移動する対策を講じています。
被害を受けた関係者に対して連絡を取り、外部の専門家による調査委員会を設置し、原因の究明と再発防止策の実施を行いました。
2016年J-WAVEは同社WebサイトにOSコマンドインジェクション攻撃があり、「最大で64万件の個人情報が流出した可能性がある」と発表しました。
流出した可能性のある情報は、J-WAVEのWebサイトから番組宛に送られたメッセージや、プレゼント応募者の個人情報である名前・住所・メールアドレス・電話番号などです。
OSコマンドインジェクション攻撃はアクセスログの解析から、「ケイタイキット」の脆弱性を突いたものだと判明しています。 開発元の「アイデアマンズ」はセキュリティチェック用のツールを公開しました。
OSコマンドインジェクション攻撃の一番の対策は、WebサイトでOSコマンド(命令)を呼び出さないプログラムを作ること。
さらに侵入を検知する仕組みの構築、問題発生の影響を小さくする対策も必要です。
では具体的にお伝えしていきます。
OSコマンドインジェクションが起こる原因は、ユーザーが入力したデータによってOSコマンドを作ってしまうことにあります。
日本テレビやJ-WAVEのOSコマンドインジェクション攻撃も、そうした脆弱性から攻撃者に侵入されています。
そのためまずはWebサイトのプログラムでOSコマンドを呼び出しているところを洗い出し、現状を把握します。 現状を把握したら、OSコマンドを使用しないプログラム作りの検討が必要です。
OSコマンドインジェクション攻撃の問題は、入力したメールアドレスなどに攻撃者が悪意ある命令を設定し、それをソフトウェアの「シェル」が実行してしまう点です。
OSコマンドインジェクションを防御する別のプログラムに変更できない場合は、プログラムの中で「シェル」を呼び出さない関数を使う必要があります。
例えばユーザーが「あいうえお」と入力したら、「アイウエオ」とカタカナで戻ってくるような仕組みのことです。 別の関数を使うことで「シェル」は呼び出されなくなります。
OSコマンドインジェクション攻撃の対策として「WAF」の導入が有効です。
「WAF」はOSコマンドインジェクション攻撃がWebサーバーに到達する前に検知し、サイバー攻撃者の悪意あるリクエストをブロックしてくれます。
自社で開発したプログラムではなく、「WordPress」などのCMSで脆弱性が見つかった場合は、開発元がバージョンアップするのを待たなくてはなりません。
そのような場合でも「WAF」はセーフティーネットとしての役割を果たし、攻撃を受けた際の影響を少なくできます。
WAFについて詳しく知りたい方はこちらの記事をご覧ください。
WAFとは?仕組みや導入メリットを初心者にも分かりやすく解説!
OSコマンドインジェクション攻撃に「Cyber Box Pro」を採用するのも、有効な手段となります。
Cyber Box Proは「バックアップ」「ログ管理」「セキュリティ」が一つになった商品なので、個々にそろえるより便利でコストも大幅に抑えることが可能です。
3つの機能により詳細な分析の実行と、悪意のある振る舞いの特性を識別し、OSコマンドインジェクション攻撃から守ります。
「Cyber Box Pro」はネットワーク通信を検査してウィークポイントに対する脅威をブロックし、ダウンロード書類の不整合をチェックして脆弱性への攻撃を遮断します。
またウイルスが侵入しそうなところを検査し、メモリー上で不審なプログラムコードをあぶりだし、マルウェアの中心的なサーバーとの通信状態を明らかにすることで、OSコマンドインジェクション攻撃を防ぎます。
サイバー攻撃も絶えず進化しているため、新しい手法が次々と登場します。 そのため脆弱性への対処にはスピードが要求されます。
まずは脆弱性を洗い出し、会社のWebサイトがOSコマンドインジェクション攻撃を受けた場合も素早く検知し、効率的でスピーディーに対処できるよう準備を整えることが大切です。
お役立ち情報カテゴリ
