OSコマンドインジェクション（comand injection）とは―解説、例、対策方法。

トップ 情報処理の知識体系 テクノロジ系 技術要素 セキュリティ 情報セキュリティとは 攻撃手法 サイバー攻撃の種類 OSコマンドインジェクション

OSコマンドインジェクション（comand injection）とはどのようなサイバー攻撃かまとめています。例や対策についても記載しています。

▲記事トップへ

目次

この記事の目次です。

1. OSコマンドインジェクション（comand injection）とは

2. OSコマンドインジェクションの攻撃例

3. OSコマンドインジェクションの対策

OSコマンドインジェクションに関連したIPA情報処理試験の過去問題

もっと知識を広げるための参考

更新履歴

1. OSコマンドインジェクション（comand injection）とは

1. OSコマンドインジェクション（comand injection）とは、 ユーザの入力データをもとに、OSの操作コマンドを利用するアプリケーションに対して、 攻撃者が、OSのディレクトリ操作などのコマンドを渡して実行するサイバー攻撃の手法です。

主な目的

攻撃の主な目的は以下になります。

• 機密情報の取得
• ホストへの侵入
• 管理者権限の奪取
• 不正な処理・機能の実行
• システムやデータの破壊・改ざん
• サービス妨害・迷惑行為

2. OSコマンドインジェクションの攻撃例

OSコマンドインジェクションの攻撃例について見ていきます。

たとえば、Perlのsystem関数やPHPのexec関数など

たとえば、Webページ上で入力した文字列がPerlのsystem関数やPHPのexec関数などに渡されることを利用し、 不正にシェルスクリプトを実行させます。

HTTPリクエストヘッダが記録例

以下は、OSコマンドインジェクションWebサーバへの攻撃と思われるHTTPリクエストヘッダが記録例です。

3. OSコマンドインジェクションの対策

OSコマンドインジェクションへの対策について見ていきます。

Webアプリケーションでの対策

Webアプリケーションの実装で対策する方法は以下があげられます。

• OSコマンドの呼出しが可能な関数を極力使用しない。
• 入力データに使用可能な文字種や書式などのルールを明確にし必要最小限のパターンに制限にする。
• ルールに従わない入力データはエラーとしてそれ以上処理に使用しないようにする。

その他

その他にWebアプリケーションファイアウォールを用いてOSコマンドインジェクションを遮断するなどがあげられます。

OSコマンドインジェクションに関連したIPA情報処理試験の過去問題

以下ではOSコマンドインジェクションに関連したIPA情報処理試験の過去問とその解説をまとめています。

• 平成30年秋 問13 不正にシェルスクリプトを実行させるもの―情報処理安全確保支援士（SC）午前Ⅱ
• 平成30年春 問2 攻撃と思われるHTTPリクエストヘッダ―情報処理安全確保支援士（SC）午前Ⅱ

もっと知識を広げるための参考

• 攻撃手法

  情報システムへの外部からの不正な行為や手法など、サイバー攻撃の種類と対策方法についてまとめています。

• 情報セキュリティ

  情報セキュリティとは何か、情報セキュリティのテキストコンテンツをテーマに知識をまとめています。またIPAの情報処理試験の情報セキュリティ関連の問題も解説しています。

• テクノロジ系

  情報処理試験対策用のサイトオリジナル教科書をテーマにテクノロジ系の知識をまとめています。

更新履歴

• 2019/2/3 記事をUPしました。

戻る