はじめに ── その入力欄、本当に安全ですか?
穹詠/情報セキュリティマネジメント主任インターネットを使っていると、名前やメールアドレスを入力するフォームをよく見かけますよね。お問い合わせフォーム、会員登録画面、検索ボックス……。普段なにげなく使っているこれらの入力欄ですが、もしWebサイトの作り方に問題があると、悪意のある人に「裏口」として利用されてしまうことがあります。
その代表的な攻撃手法のひとつが「OSコマンドインジェクション」です。名前だけ聞くと難しそうですが、仕組みはとてもシンプル。この記事では、専門知識がなくても理解できるように、身近なたとえ話を交えながら解説していきます。
そもそも「OSコマンド」って何?
穹詠/情報セキュリティマネジメント主任まずは用語の整理から始めましょう。
「OS」とは、パソコンやスマートフォンを動かしている基本ソフトのことです。WindowsやmacOS、Linuxなどがこれにあたります。そして「コマンド」とは、OSに対して出す命令のことです。たとえば「このファイルを削除して」「フォルダの中身を一覧で見せて」といった指示を、文字で入力して実行します。
普段はマウスでクリックして操作していますが、裏側ではこうしたコマンドが動いているのです。
「インジェクション」= 注入する攻撃
穹詠/情報セキュリティマネジメント主任「インジェクション(injection)」は英語で「注入」という意味です。つまりOSコマンドインジェクションとは、本来は入力されるはずのない「OS への命令」を、外部から注入してしまう攻撃のことです。
たとえ話で考えてみましょう。あなたがレストランの受付で「名前」を書く用紙に記入するとします。普通は「山田太郎」のように名前を書きますよね。ところが悪意のある人が、名前の欄にこう書いたとします。
山田太郎、ついでに厨房の冷蔵庫を全部開けておいて
もしこの受付係が、書かれた内容をそのまま読み上げて指示に従ってしまったら、大変なことになります。本来「名前」しか受け付けないはずの欄に、まったく別の命令が紛れ込んでしまったわけです。
OSコマンドインジェクションもまったく同じ原理です。Webサイトの入力欄に、開発者が想定していない「OSへの命令文」をこっそり混ぜて送信し、サーバーにその命令を実行させてしまうのです。
実際にはどんな被害が起きるの?
穹詠/情報セキュリティマネジメント主任この攻撃が成功すると、攻撃者はWebサイトが動いているサーバーを自由に操作できるようになります。具体的には、次のような被害が考えられます。
情報の漏えい ── サーバーに保存されている顧客情報やパスワード、社内の機密データなどが盗み出されてしまいます。過去には数万件規模の個人情報が流出した事例もあります。
データの改ざん・削除 ── Webサイトの内容を勝手に書き換えたり、重要なデータを丸ごと消去したりすることが可能になります。企業にとっては信用の失墜に直結する深刻な問題です。
他の攻撃への踏み台 ── 乗っ取ったサーバーを使って、さらに別のサーバーやネットワークへ攻撃を仕掛けることもあります。被害者であるはずの企業が、知らないうちに「加害者」にされてしまうケースです。
マルウェアの設置 ── サーバー上にウイルスや不正プログラムを置かれ、サイトを訪れた一般ユーザーにまで被害が広がることもあります。
なぜこの攻撃が起きてしまうのか
穹詠/情報セキュリティマネジメント主任原因はシンプルで、Webアプリケーションの開発時に「入力内容のチェック」が不十分だからです。
ユーザーが入力した文字をそのままOSのコマンドとして組み込んでしまうプログラムの書き方をしていると、この脆弱性が生まれます。先ほどのレストランのたとえでいえば、「受付係が名前欄に書かれた内容を何でも命令として実行してしまう」状態です。
入力された内容が本当に「名前」なのか、それとも危険な命令文が混ざっていないかを事前にチェックする仕組みがあれば、攻撃は防げます。しかし、このチェックが抜けていたり甘かったりするWebサイトが、残念ながらまだ存在しているのが現状です。
どうすれば防げるの?
穹詠/情報セキュリティマネジメント主任OSコマンドインジェクションへの対策は、主にWebサイトを開発・運用する側の責任ですが、代表的な対策を紹介します。
1. そもそもOSコマンドを使わない設計にする もっとも根本的な対策です。プログラムの中でOSコマンドを直接呼び出す必要がないように、別の安全な方法で機能を実現します。多くの場合、プログラミング言語が提供する標準的な機能を使えば、OSコマンドを呼ばずに済みます。
2. 入力内容を厳しくチェックする ユーザーからの入力に、コマンドとして解釈される特殊な文字(セミコロンやパイプ記号など)が含まれていないかを確認し、不正な入力は弾くようにします。
3. 特殊文字を無害化(エスケープ)する 入力された文字列の中に特殊な記号があった場合、それをOSが「命令」として認識しないように変換処理を施します。レストランのたとえでいえば、「名前以外の部分は無視するルール」を受付係に徹底させるようなものです。
4. 定期的な脆弱性診断を行う Webサイトを公開した後も、専門のツールや第三者の診断サービスを使って、脆弱性がないかを定期的にチェックすることが大切です。
一般ユーザーにできることはある?
穹詠/情報セキュリティマネジメント主任「開発者側の問題なら、自分にはどうしようもないのでは?」と思うかもしれません。確かに根本的な対策はサイト運営者の仕事ですが、一般ユーザーとしても意識できることがあります。
まず、信頼できるWebサイトを利用することが基本です。運営元がはっきりしないサイトや、長期間更新されていないサービスは、セキュリティ対策が不十分な可能性があります。
また、もしWebサイトの不審な挙動に気づいたら、運営者に報告することも大切です。自分が直接被害に遭わなくても、他の利用者を守ることにつながります。
そして、個人情報をむやみに入力しない習慣を身につけることも重要です。必要最低限の情報だけを提供するよう心がけましょう。
おわりに
OSコマンドインジェクションは、古くから知られている攻撃手法でありながら、今なお被害が報告されている脅威です。技術の進歩とともに対策も進んでいますが、すべてのWebサイトが万全とは限りません。
「入力欄には名前しか書かないのが当たり前」
穹詠/情報セキュリティマネジメント主任その当たり前を悪用する人がいるということを知っておくだけでも、インターネットとの付き合い方は変わってきます。難しい技術を覚える必要はありません。まずは「こういう攻撃があるんだ」と知ることが、セキュリティ意識を高める第一歩です。
コメント