OSコマンド・インジェクションとは？基本的な仕組みや対策を解説

Webアプリケーションを狙うサイバー攻撃手法として、ブルートフォースアタックやSQLインジェクションが広く認知されています。一方で、Webアプリケーションへ直接的にダメージを与える別の手法「OSコマンドインジェクション」にも注目が集まっています。

対策を怠ると深刻な被害につながる可能性があるので、この攻撃手法を理解し適切な対策を講じることが重要です。本記事では「OSコマンドインジェクション」の仕組みや脆弱性の事例、対策を詳しく解説します。

OSコマンド・インジェクションの仕組みとは？

OSコマンドインジェクションはWebアプリケーションからシェルへのコマンド転送過程で発生する攻撃で、ユーザー入力に紛れ込んだOSコマンドが意図せず実行されるものです。シェルとはOSとユーザーの間でコマンドを仲介する役割を担うプログラムで、ユーザーの送信した命令を受け取りOSへと伝達します。

この攻撃は、Webアプリケーションがユーザーからの入力をフィルタリングせずに使用することで引き起こされます。その際、攻撃者によって仕掛けられたコマンドがシステム上で実行されるリスクがあるでしょう。攻撃メカニズムは以下のステップで構成されます。

1. 攻撃者が悪意あるコマンドをユーザー入力として挿入
2. Webアプリケーションがその入力を元にシェルコマンドの組み立てを行う
3. 組み立てられたコマンドがシェルで実行される

このような脆弱性が存在すると、開発者が予見しない形でOSコマンドがサーバー上で実行され、重大なセキュリティリスクとなります。

一般的な攻撃コマンドにはファイルやディレクトリの削除を指示する「rm」や外部からファイルをダウンロードする「wget」、ファイルのコピー「cp」、移動「mv」、アクセス権限の変更「chmod」、ファイルの所有者情報の変更「chown」などがあります。

攻撃により企業や組織は深刻な被害を受ける可能性があり、その範囲は情報の漏えいからファイルやデータベースの改ざん・マルウェアによる感染・Webサーバーの完全な乗っ取りにおよび、他の攻撃の踏み台として悪用されることもあります。

攻撃を防ぐためには、Webアプリケーションのセキュリティ対策を強化し、入力値の検証を徹底することが不可欠です。

OSコマンド・インジェクションによる脅威

それでは、「OSコマンドインジェクション」による攻撃を受けた際、具体的にどのような脅威が存在するのでしょうか。

OSコマンドインジェクション攻撃は深刻なセキュリティリスクをもたらし、以下のような多岐にわたる被害を引き起こす可能性があります。

• 不正なプログラムをダウンロードし実行する
• サーバー内のファイルを改ざんや削除する
• 不正に操作される
• 他システムに攻撃する

不正なプログラムをダウンロードし実行する

OSコマンドインジェクションの影響は広範にわたり、その中でもとくに深刻なのが不正なプログラムのダウンロードと実行です。攻撃者はこの手法を利用して、サーバーにウイルスやボット、バックドアを植え付け、サーバーのコントロールを奪うことが可能になります。

これらの不正プログラムは、サーバー上の機密情報を盗み出したり、他のシステムへの攻撃の踏み台として利用されたりする可能性があります。

攻撃者がサーバーを乗っ取ることで、システムの完全性が脅かされるだけでなく、そのサーバーが攻撃者によるさらなる悪質な活動の拠点と化す恐れがあるでしょう。たとえば、乗っ取られたサーバーが、スパムメールの配信やDDoS攻撃、フィッシングサイトのホスティングなどに利用される可能性があります。これにより、組織の評判が損なわれ、法的責任を問われるリスクも生じます。

サーバー内のファイルを改ざんや削除する

サーバーに保存されたファイルへの不正アクセスや改ざん、削除が挙げられます。攻撃者による不正操作には、他のファイルでの上書きや完全な削除などが含まれ、これらの行為により、個人情報やその他重要なデータの漏えいにつながる可能性があります。たとえば、顧客データや財務情報、機密文書などが流出した場合、組織の信頼性が大きく損なわれ、法的責任や財務的損失につながる可能性があります。

攻撃者がこれらの情報を入手した場合、不正な目的で利用されたり、第三者に販売されたりする可能性もあるでしょう。流出した情報が悪用されることで、なりすまし犯罪やフィッシング詐欺、さらなるサイバー攻撃などが引き起こされる可能性があります。

また、OSコマンドインジェクションによってファイルが改ざんや削除された場合、業務に必要不可欠なデータが失われ、組織の運営に大きな支障をきたす可能性があります。バックアップが適切に取られていない場合、データの復旧が困難になることもあり、業務の継続性が脅かされます。

不正に操作される

不正なシステム操作も大きな問題となります。攻撃者はシステムのシャットダウン、不正なユーザーアカウントの追加や既存アカウントの権限変更など、システムの正常な運用を妨害します。これらの操作によって、システムの安定性と信頼性が大きく損なわれることになります。

たとえば、攻撃者がシステムをシャットダウンした場合、業務が中断され、顧客へのサービス提供が停止する可能性があるでしょう。これにより、収益の損失や顧客満足度の低下、ブランドイメージの悪化などの深刻な影響が生じることがあります。

他システムに攻撃する

攻撃者は乗っ取ったサーバーを使用して、他のシステムへの攻撃の踏み台とすることがあります。ログイン情報の窃取から始まり、不正な権限昇格を経てサーバーの制御を完全に奪います。

攻撃者によって他の攻撃の踏み台として利用されることで、一つの脅威が連鎖的に他のシステムやネットワークに波及することがあり、全体のセキュリティ環境を損なう原因となるでしょう。

OSコマンドインジェクション攻撃は、単に情報漏えいのリスクをもたらすだけでなく、サーバーの完全性・信頼性・およびその他のシステムへの安全性に深刻な影響を及ぼします。

OSコマンド・インジェクションの具体的な脆弱性事例3選

JVN iPedia（Japan Vulnerability Notes iPedia：脆弱性サービス情報データベース）は、国内外の脆弱性情報を収集したデータベースです。ここには、OSコマンドインジェクションに関する多数の脆弱性事例が記載されています。本章では事例から3件を取り上げ解説していきます。

1. エレコム製無線 LAN ルーター
2. FitNesse
3. WebProxy

エレコム製無線 LAN ルーター

エレコム製無線LANルーターに見つかったOSコマンドインジェクションの脆弱性は、セキュリティ上の問題を引き起こします。エレコムが市場に提供しているいくつかの無線LANルーターモデルが、悪意あるリクエストを受け取った場合に任意のOSコマンドを実行させるリスクにさらされていることが判明しました。

この問題はJPCERT/CCを通じて報告され、エレコムとの間で調整が進められました。ユーザーは提供された情報に基づきファームウェアを直ちに最新版に更新することが求められます。

FitNesse

FitNesseに関しても複数のセキュリティ脆弱性が特定されており、これにはクロスサイトスクリプティング、XML外部エンティティ参照の不適切な制限、そしてOSコマンドインジェクションが含まれます。

発見された脆弱性はGMOサイバーセキュリティのイエラエの西谷完太氏によって情報セキュリティ早期警戒パートナーシップを通じてIPAに報告され、開発者との調整がJPCERT/CCによって行われました。

脆弱性によって、ユーザーは不正なスクリプトの実行や機微な情報の窃取、データの改ざんおよびサービス運用妨害攻撃などのリスクにさらされる可能性があります。ユーザーはとくに警戒し、適切なセキュリティ対策を講じる必要があります。

WebProxy

LunarNight Laboratoryが運営するWebProxyはプロキシサーバー構築用ソフトウェアで、特定の脆弱性、具体的にはOSコマンドインジェクション（CWE-78）のリスクを抱えていると発表されました。

発見された脆弱性により、Webサーバの実行権限で任意のOSコマンド実行が可能になる恐れがあり、とくにバージョン1.7.8および1.7.9を使用しているユーザーは使用を見直す必要があるでしょう。脆弱性への対策状況は開発者との連絡が取れていないため、2024年3月25日時点では不明です。

OSコマンド・インジェクションの主な原因とは？

OSコマンドインジェクションの根本的な原因は脆弱性を含んだWebアプリケーションの設計にあり、とくにPHPやJava、RubyなどOSコマンドを呼び出せるプログラミング言語で開発されたWebアプリケーションでこの問題が顕著になります。

これらの言語においては、Webサイトやアプリケーション内のセキュリティ上の欠陥を突かれ、攻撃が成立するのです。原因を究明し、速やかに対策することが求められます。

大きな原因となる2つの要素を見ていきましょう。

• シェルを呼び出す関数の使用
• 入力値の検証不足とシェルへの直接受け渡し

シェル（Shell）を呼び出す関数の使用

ユーザーがコンピュータを操作する際、OSへの命令（OSコマンド）をシェルが受け取り、OSに送ることで、各ソフトウェアに指令が伝達されます。OSコマンドインジェクションは、このシェルを悪用することで発生します。

対策として、シェルを呼び出す関数の使用を避けることが挙げられます。たとえば、Perlのopen関数では、ファイルパスに「|」（パイプ）を使うことでOSコマンドを実行できてしまうため、注意が必要です。

入力値のシェルへの直接受け渡し

入力値を適切に検証せず、そのままシェルに受け渡すような設計になっていることも原因の一つです。外部からの入力値に不正なOSコマンドが含まれていても、そのままシェルに受け渡されるため、意図しないコマンドが実行されてしまう可能性があります。

OSコマンド・インジェクションの有効な対策とは？

Webサイトやアプリケーションを安全に運用し開発するには、OSコマンドインジェクションへの対策が不可欠です。この脆弱性により情報漏えいやサーバーの不正利用などの深刻な被害につながるため、対策の実施は急務です。

本章では、以下の対策を紹介します。

• シェルを使うコマンドを避ける
• WAFサービスを導入する
• 外部プログラムを呼び出す関数に注意する
• サニタイジングやエスケープ処理を行う
• 脆弱性診断サービスを利用してみる
• 脆弱性診断ツールを導入してみる

シェルを使うコマンドを避ける

Webアプリケーションの開発言語には、シェルを起動可能な機能を備えたものが存在します。Perlのopen関数などは、ファイルパスにパイプ記号「|」を含めることでOSコマンドを実行でき、外部からの入力を引数に使用することはリスクが伴います。

安全な開発のためには、このような機能の使用を控え、Perlであればsysopen関数のようにシェルを起動しない代替手段を選択することが推奨されます。

WAFサービスを導入する

Web Application Firewall（WAF）はWebアプリケーションを外部攻撃から守るための有効なツールであり、OSコマンドインジェクションを含むさまざまな攻撃を検知し対策を講じることが可能です。

WAFは入力されたデータを精査し、不正と判定されたものはアプリケーションに届ける前にブロックすることで、攻撃を事前に防ぐ役割を果たします。

外部プログラムを呼び出す関数に注意する

OSコマンド実行に関連する関数は、PHPの「system()」や「exec()」、Perlの「eval()」「open()」「system()」、Pythonの「os.system()」や「subprocess」関連の関数群など、開発言語ごとに存在します。

これらの関数を利用している場合、とくに慎重なチェックが必要であり、チートシート*を作成し、開発時のセキュリティチェックリストとして活用することが推奨されます。関数を使用する際には、とくに入力値を慎重に検証することが重要です。

*チートシート…「早見表」「カンニングペーパー」の意。頻出の参照情報を簡潔に表記し、一枚もしくは数枚の紙に一覧でまとめたもの。

サニタイジングやエスケープ処理を行う

入力値のサニタイジング、すなわちエスケープ処理は、Webアプリケーションのセキュリティを強化する別の手法です。不正な文字やコマンドを含む可能性のある入力データを検証し、害のない形に変換することで、OSコマンドインジェクションのリスクを軽減します。

とくに「;」「|」「&」などOSコマンドに影響を及ぼす特殊記号を適切に処理し、不正なコマンド実行を未然に防ぐことが不可欠です。このプロセスにより、外部からの攻撃によってWebアプリケーションが不正に操られることを防ぎます。

脆弱性診断サービスを利用してみる

セキュリティの専門知識を持たずにすべての脆弱性を特定し対処することは極めて困難です。その解決策として診断ベンダーへの脆弱性診断の依頼が有効であり、OSコマンドインジェクションを含む潜在的な脆弱性の洗い出しが期待できます。

この手法では具体的な脆弱性の位置と対策が提示されるため、Webアプリケーションのセキュリティ強化に直結します。適切な診断サービスを選び、依頼してみましょう。

脆弱性診断ツールについてはこちらの記事もあわせてご覧ください。

脆弱性診断ツールを導入してみる

組織内で脆弱性の自主診断を希望する場合、脆弱性診断ツールの導入が推奨されます。

この方法ならば外部ベンダーへの依頼に比べコストと時間を節約し、都合の良い時に迅速な診断が可能です。内製化により開発プロセスにおけるセキュリティの自主管理が実現し、手軽にアプリケーションの安全性を高められます。

• クラウド型

クラウド型の脆弱性診断ツールはインターネットを介して利用でき、インストールや管理の手間が不要です。自社システムへの負担がなく、専門ベンダーによるセキュリティ対策の委託が可能になります。

また診断結果のレポート化により、対策の優先順位決定にも役立ちます。クラウド型ツールはとくに、診断の手間を省きつつセキュリティ状況を迅速に把握したい場合にぴったりです。

• ソフトウェア型

ソフトウェア型の脆弱性診断ツールは自動検知を通じてシステム全体のセキュリティチェックを実現します。このツールを使用することで、手動では困難な広範囲の診断を短時間かつ効率的に行えます。

ソフトウェア型ツールの利用により、不正アクセスやサイト改ざんを防ぎ、コストパフォーマンス良くセキュリティ対策を施すことが可能です。

また、第三者からの客観的な評価を通じて、企業の社会的信用を高めることにもつながります。とくに新規開発アプリの安全性確認やセキュリティレベルの向上が求められる場合に、ソフトウェア型ツールが力を発揮します。

無料版と有料版の違い

脆弱性診断ツールは無料版と有料版の両方が提供されており、それぞれの特徴や適用プロセスが異なります。導入前にはそれぞれの長所と短所を比較検討することが重要です。

無料版は導入と運用の両方でコストがかからないため、予算に制約のある環境や初期の機能テストに適しています。しかし、機能面での制限やサポート不足がネックになることがあるため、セキュリティ知識が豊富な専門家が在籍する組織や限定的な診断ニーズを持つ企業に最適です。

一方、有料版は直感的な操作性と充実したサポートで、セキュリティの初心者からプロフェッショナルまで幅広いユーザーに対応しています。最新の脆弱性に対する高精度な診断能力と、大規模システムにも対応する柔軟性が魅力ですが、導入には初期投資が必要です。

個人情報や企業秘密を扱うようなシステムのセキュリティを確保する場合や、社内にセキュリティスキルを持つ専門家が不足している場合には、有料版の利用を推奨します。

また外部に診断を委託するとその都度費用が発生し、長期間にわたると高額になる可能性があるため、コストパフォーマンスを考慮するとツールの導入が経済的な選択肢となる場合が多いです。

無料で利用できる脆弱性診断ツール3選

脆弱性を診断できるツールはさまざまありますが、本記事では、無料で利用できる診断ツールを3つご紹介します。ツール導入を検討している方はぜひ参考にしてみてください。

まとめ：OSコマンドインジェクションの対策を講じよう

OSコマンドインジェクションについて、そのメカニズムを実際の例を挙げて説明しました。この攻撃がどのような脅威をもたらし得るのか、また効果的な対策方法や脆弱性の事例についても触れました。

OSコマンドインジェクションはWebサーバーに不正なOSコマンドを実行させる攻撃方法であり、情報漏えい・ファイルの改ざんや削除・Webサーバーの完全な乗っ取りといった重大なセキュリティインシデントが引き起こされるリスクがあります。

この種の攻撃から身を守る方法として、OSコマンドの直接的な呼び出しを避け、シェルを介してコマンドを実行する機能を有する関数の使用を控えることが効果的です。さらに、定期的な脆弱性診断を通じてセキュリティホールを発見し、修正することでWebアプリケーションのセキュリティレベルを向上させることが可能です。脆弱性診断ツールを活用すれば、外部の専門機関に依頼するよりもコストを抑えて、幅広い範囲の脆弱性を検出できます。

また、脆弱性の修正には時間が必要なため、その間のリスクを最小限に抑えるためにWeb Application Firewall（WAF）の導入を推奨します。これにより、攻撃の試みを自動的に検出し阻止することができます。

組織はこれらの対策を講じることでOSコマンドインジェクションの脅威から保護され、安全なWeb環境の維持が可能になります。記事を参考に、適切な理解や対策をしましょう。

OSコマンドインジェクションをはじめ、あらゆる脅威から自社サービスを守るために脆弱性診断ツールの導入を検討している方も多いことでしょう。最後に脆弱性診断ツールの製品比較表をご用意しました。製品を導入検討している方はぜひダウンロードしてください。