OSコマンド・インジェクションとは

OSコマンドとは、コンピュータの基本ソフトウエア(＝OS)を操作するための命令(＝コマンド)のこと。OSコマンド・インジェクションとは、外部からサーバー上の任意のOSコマンドを実行すること、また、それが可能になる脆弱性を指す。

外部の攻撃者が、不正に埋め込まれた(＝インジェクション)命令をサーバーに要求すると、サーバーの基本ソフトを不正に操作されてしまう可能性がある。例えば、ユーザーが入力フォームにメールアドレスを入力すると、そのメールアドレスに対して自動的にメールを送信する「sendmail」のコマンドを悪用し、不正な命令をサーバー側に送る行為などだ。

これにより、サーバー内のデータを破壊されたり、重要ファイルを流出させられたり、攻撃者にサーバーを乗っ取っとられたりする危険性がある。

サーバーを乗っ取られてしまうと、そこを足がかりにして他のWebサイトなどへの攻撃の踏み台にされるなど、さらに深刻な事態に発展する恐れもある。

OSコマンド・インジェクションの被害に遭わないためには、開発の際に、Webアプリケーションで外部プログラムを呼ぶようなプログラムを書かない、特定の文字列が入力データに含まれている場合にエラーとするサニタイジングなど、入力データが正当であるかどうかのチェックを徹底する必要がある。

＜参考＞
・OSコマンド・インジェクション(IPA)