1. 情報セキュリティブログ ホーム
  2. セキュリティ用語解説
  3. OSコマンド・インジェクションとは

OSコマンド・インジェクションとは

OSコマンドとは、コンピュータの基本ソフトウエア(=OS)を操作するための命令(=コマンド)のこと。OSコマンド・インジェクションとは、外部からサーバー上の任意のOSコマンドを実行すること、また、それが可能になる脆弱性を指す。

外部の攻撃者が、不正に埋め込まれた(=インジェクション)命令をサーバーに要求すると、サーバーの基本ソフトを不正に操作されてしまう可能性がある。例えば、ユーザーが入力フォームにメールアドレスを入力すると、そのメールアドレスに対して自動的にメールを送信する「sendmail」のコマンドを悪用し、不正な命令をサーバー側に送る行為などだ。

これにより、サーバー内のデータを破壊されたり、重要ファイルを流出させられたり、攻撃者にサーバーを乗っ取っとられたりする危険性がある。

サーバーを乗っ取られてしまうと、そこを足がかりにして他のWebサイトなどへの攻撃の踏み台にされるなど、さらに深刻な事態に発展する恐れもある。

OSコマンド・インジェクションの被害に遭わないためには、開発の際に、Webアプリケーションで外部プログラムを呼ぶようなプログラムを書かない、特定の文字列が入力データに含まれている場合にエラーとするサニタイジングなど、入力データが正当であるかどうかのチェックを徹底する必要がある。

<参考>
OSコマンド・インジェクション(IPA)

セキュリティ用語辞典一覧ページへ

関連キーワード:
  • スクリーンセーバーを装ってPC乗っ取りを狙う手口に注意
  • カテゴリートップへ
  • IT大喜利コンテスト 其の弐・結果発表!