• OSコマンドインジェクションとは

    2016/04/22

    本日、日本テレビから「不正アクセスによる個人情報情報流出の可能性について」という記事が出ていました。約43万件の個人情報のようです。

    そこで、その原因である「OSコマンドインジェクション」について簡単に説明します。

    「OSコマンド」とは、ウェブサイトのサーバにおけるOS(Windows,Linuxなど)に存在する実行命令指示の機能です。OSにはファイルのコピーや削除、移動などが実行できる機能があり、それを記述、入力することにより実行されます。その機能を利用して、ウェブからの入力にて内部のコマンドを紛れ込ませて実行させることを「OSコマンドインジェクション」と呼んでいます。

    細かい手口までは公開されておりませんが、たとえば、メールアドレスや氏名などを入力するエリア(枠)がそのページにあったとします。通常であれば、その中にメールアドレスや氏名などのみを入力しますが、そのメールアドレスの後ろにOSコマンドを埋め込み入力することで、実行、登録などのボタンを押した際に実行するようにしています。例として、メールアドレスの後ろに「ファイルを取得」するコマンドを入力しておけば、ボタンを押した際にファイルが取得されることとなります。

    対策としては、ウェブの用語でいえば「サニタイジング」を実施します。簡単に言うと、入力された内容を判断して、疑わしい文字がある場合にはエラーもしくは別の文字に変換して処理を行うようにします。そうすることで実行を防止することができます。

    意識した作成をしなければ、大切な情報が漏えいすることとなります。現在管理されているサイトについて、ユーザに入力していただくページがある場合に問題ないか再点検しましょう。

    野上


    Post Tagged with

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です