OSコマンドインジェクションとは?
OSコマンドインジェクションとは、Webアプリケーションがユーザーの入力を適切に検証せずにOSのコマンドとして実行してしまう脆弱性を悪用する攻撃手法です。Webサイト・APIの弱点の中でも極めて危険な脅威で、攻撃者が任意のシステムコマンドを実行できるようになります。ファイル操作、ネットワークツール、画像処理などでシステムコマンドを呼び出すアプリケーションが標的となり、サーバーの完全な制御を奪われる可能性があります。一つの入力フィールドから、サーバー全体が危険にさらされる恐ろしい攻撃です。
OSコマンドインジェクションを簡単に言うと?
レストランの注文システムに例えると、「ハンバーガー1個」という注文に、こっそり「ついでに金庫を開けて」という命令を紛れ込ませるようなものです。料理人(サーバー)は注文を処理する際に、うっかり金庫を開ける命令も一緒に実行してしまいます。OSコマンドインジェクションも同じで、例えば「ファイル名を入力してください」という欄に「file.txt; rm -rf /」(ファイルを表示した後、全データを削除)という命令を入力すると、システムが両方の命令を実行してしまいます。セミコロン(;)やパイプ(|)などの特殊文字を使って、本来の処理に「おまけの悪意ある命令」を追加することで、サーバーを自由に操作できてしまうのです。
OSコマンドインジェクションで発生する被害は?
OSコマンドインジェクションにより、システムの完全掌握、データの削除・改ざん、他システムへの攻撃拡大などの致命的な被害が発生します。Webサイト・APIの弱点を突かれることで、攻撃者はWebアプリケーションの権限でOSコマンドを自由に実行でき、サーバー管理者と同等の操作が可能になります。特に、root権限で動作しているアプリケーションが攻撃された場合、システム全体が一瞬で破壊される可能性があります。
OSコマンドインジェクションで発生する直接的被害
- システムファイルの削除・破壊
重要なシステムファイルやデータベースファイルが削除され、サーバーが起動不能になったり、全ての業務データが消失する
- 機密情報の大量窃取
catやtypeコマンドで設定ファイル、パスワードファイル、ソースコード、顧客データなどを読み取られ、外部に送信される
- マルウェアのダウンロード・実行
wgetやcurlコマンドで外部からマルウェアをダウンロードして実行され、ランサムウェアやバックドアが仕込まれる
OSコマンドインジェクションで発生する間接的被害
- 踏み台としての悪用
乗っ取られたサーバーから他の内部システムや外部サイトへの攻撃が実行され、加害者として責任を問われる
- 仮想通貨マイニングの強制実行
CPUリソースを勝手に使用されて仮想通貨のマイニングが実行され、サーバーのパフォーマンスが低下し電気代が高騰する
- 監視・盗聴の継続
netcatなどでリバースシェルを確立され、長期間にわたってシステムを監視・操作され続ける
OSコマンドインジェクションの対策方法
OSコマンドインジェクションへの対策は、OSコマンドの実行を避ける、入力値の厳格な検証、最小権限での実行が基本となります。Webサイト・APIの弱点を補強するために、可能な限りプログラミング言語の標準ライブラリを使用し、どうしてもOSコマンドが必要な場合は、パラメータ化されたコマンド実行やホワイトリスト検証を実装することが重要です。また、WAFの導入、コンテナ化による隔離実行により、攻撃の影響を最小限に抑えることができます。
OSコマンドインジェクションの対策を簡単に言うと?
工場の機械操作に例えると、まず「ボタン操作だけで動く機械」を使い、直接的な命令入力を避けます(ライブラリ使用)。どうしても命令が必要な場合は、「決められた命令のリスト」からしか選べないようにし(ホワイトリスト)、自由な文字入力は禁止します。危険な記号(;、|、&など)が含まれていたら即座に拒否し(入力検証)、機械を動かす権限も最小限にして、万が一の被害を抑えます(最小権限)。さらに、機械を隔離された部屋に置いて(コンテナ化)、他の機械に影響が出ないようにします。「便利だから何でも入力できる」ではなく、「安全のために制限する」という考え方が、OSコマンドインジェクションを防ぐ鍵となります。
OSコマンドインジェクションに関連した攻撃手法
Webサイト・APIの弱点において、OSコマンドインジェクションと密接に関連する3つの攻撃手法を解説します
- 安全でないデシリアライゼーション
OSコマンドインジェクションは、安全でないデシリアライゼーションの結果として実行されることがあります。デシリアライゼーション時に任意のコードが実行可能になると、そこからOSコマンドを呼び出して、システム全体を掌握する連鎖攻撃につながります。
- SQLインジェクション
OSコマンドインジェクションとSQLインジェクションは、どちらも「インジェクション攻撃」の仲間です。SQLインジェクションでデータベースの管理者権限を取得した後、ストアドプロシージャを通じてOSコマンドを実行する複合攻撃が可能です。
- ディレクトリトラバーサル
OSコマンドインジェクションとディレクトリトラバーサルを組み合わせることで、より深刻な攻撃が可能になります。ディレクトリトラバーサルで設定ファイルを読み取り、その情報を使ってOSコマンドインジェクションの攻撃精度を高めるという連携が行われます。
OSコマンドインジェクションのよくある質問
ファイルアップロード後の処理(画像変換、ウイルススキャン)、pingやtracerouteなどのネットワーク診断機能、PDFやOfficeファイルの変換機能などが特に狙われやすいです。
はい、LinuxだけでなくWindowsも同様に危険です。cmd.exeやPowerShellを通じた攻撃が可能で、「&」「|」「&&」などの文字で複数コマンドを連結できます。
基本的にどの言語でも危険ですが、PHP(system、exec)、Python(os.system、subprocess)、Ruby(system、exec)、Node.js(child_process)など、OS コマンド実行機能を持つ全ての言語で注意が必要です。
被害を限定的にできますが、完全に安全ではありません。コンテナからのエスケープや、コンテナ内の機密情報窃取の可能性があります。根本的な入力検証が必要です。
WAFは有効な対策の一つですが、エンコードや難読化された攻撃は検知できない可能性があります。アプリケーション側での対策と併用することが重要です。
コマンドとパラメータを分離して実行する方法です。例えば、subprocess.run(["ls", filename])のように、ファイル名をコマンドの一部としてではなく、引数として渡すことで、インジェクションを防ぎます。
更新履歴
- 初稿公開
