PHPの脆弱性とは?脆弱性を悪用したサイバー攻撃と被害

security_328

PHPとはWEBページの作成に広く使用されているスクリプト言語。

しかし、普及しているがゆえに脆弱性を突いたサイバー攻撃も跡を絶ちません。

PHPの脆弱性を利用されると、どのような攻撃ができてしまうのか、まとめてみました。

PHPに発見された脆弱性は?(2016/6/1現在)

PHPには複数の脆弱性があり、日々アップデートファイルが配布されて修正がおこなわれます。PHPに発見された脆弱性と、解決方法をご案内します。

発見された脆弱性

遠隔操作により、悪意ある第三者がDoS攻撃などを実行できる。

該当の脆弱性が発見されたバージョン

  • PHP 7.0.7 以前のバージョン
  • PHP 5.6.22 以前のバージョン
  • PHP 5.5.36 以前のバージョン

問題の解決方法

PHPを開発者・配布元が提供する、修正済みの最新バージョンに更新すると解決します。詳細は開発者・配布元の情報を参照してください。

情報元:JPCERT コーディネーションセンター

PHP脆弱性を突いたサイバー攻撃

ハッカーが利用するツールはPHPの脆弱性を悪用して、つぎのようなサイバー攻撃が可能になります。攻撃の仕組みとどのような被害があるか説明していきます。

SQLインジェクション

データベースの管理・操作を実行するプログラミング言語であるSQL。このSQLを悪用して不正にデータベースを操作し、情報を抜き取る攻撃です。不正アクセスせずとも、サイト内のフォームに独自のSQL文をインジェクション(混ぜ込み)して送信するだけで実行できてしまうサイバー攻撃です。

SQLインジェクションされるとどうなる?

  • 個人情報の漏えい
  • 不正ログイン
  • サーバー乗っ取り
  • データベース改ざん

OSコマンドインジェクションされるとどうなる?

SQLインジェクションと似た手法の攻撃です。サイト内のフォームにおいて、OSに対する命令文のコマンドを入力することで、不正にデータベースを操作してしまうサイバー攻撃です。

OSコマンドインジェクションによる被害

  • 個人情報の漏えい
  • ウイルス感染
  • サーバー乗っ取り
  • 踏み台にされ他サイトへ攻撃する加害者に

クロスサイトスクリプティング

WEBサイトを改ざんしてウイルスや罠サイトへのリンクを設置し、訪問者にウイルス感染させるなどをおこなう攻撃です。個人情報を含むcookie(記録)を悪用し、不正にログインすることもできてしまいます。

クロスサイトスクリプティングされるとどうなる?

  • WEBサイトの改ざん
  • Cookieの漏えい
  • 不正ログイン

クロスサイトリクエストフォージェリ

リクエスト強要攻撃と呼ばれる手法です。通常、会員制の掲示板で書き込みをおこなうにはログイン→入力→送信の手順を踏む必要があります。

しかし、攻撃者は「指定した言葉を入力、送信したことにさせる」URLを用意し、言葉巧みに不特定多数の人物に押させ、不正な書き込みをさせる・・・というものです。

クロスサイトリクエストフォージェリの有名な事例では、mixiの「はまちちゃん事件」があります。これは、mixi内のあるURLをクリックするだけで、勝手に「ぼくはまちちゃん!」という書き込みが自動投稿され、はまちちゃん投稿が相次いだという事件です。

security_327

クロスサイトリクエストフォージェリにされると?

  • 意図せず犯行予告などの加害者に

ディレクトリトラバーサル

WEBサイトに使用されているデータを収納したファイルに不正アクセスし、公開されていないファイルを閲覧する攻撃です。企業のサイトでおこなわれると、ファイル内に格納されていた社内の秘密情報が記載されたファイルなどにアクセスされてしまいます。

ディレクトリトラバーサルされるとどうなる?

  • 情報漏えい
  • 不正アクセス
  • 不正ログイン

脆弱性を突いた攻撃から身を守るには?

サイバー攻撃は日々進化しており、防ぎきれない攻撃もあるでしょう。しかし、最低限実施しておくと効果がある対処法がこちらです。

  • 管理ページなどにアクセス制限を設ける
  • あやしいURLをクリックしないようにする
  • セキュリティ専門のエンジニアに対処してもらう

まとめ

PHPにある脆弱性を狙ったサイバー攻撃は跡を絶ちません。会員制サイトでなくても、入力フォームなどを設置しているだけで、入力された情報を抜き取られたり、サイト改ざんされることもあります。

まったく対策せず、情報漏えいやサイト改ざんといった大事故にならないように気をつけてください。

  • このエントリーをはてなブックマークに追加
  • Pocket
  • LINEで送る

今、注意すべき攻撃手口はこれ!【2016年最新セキュリティ脅威レポート】 特別プレゼント

・「セキュリティ診断」で何がわかるの?
どんな危険が見つかっているの?
どんな被害が発生しているの?

もし、あした「情報漏えい事故」であなたの会社がニュースになったら?
攻撃者は、自動攻撃ツールを使って24時間365日、攻撃できるスキマを狙っています。
セキュリティ事故は、いつ起きてもおかしくありません。

【2016年最新セキュリティ脅威レポート】では、弊社が実際に疑似攻撃(ペネトレーションテスト)をおこない、検証した結果から、2016年注意すべき脆弱性・実際に多かった不備などをお伝えします。

「今、どんな被害が起きているのか?」
最新のセキュリティ脅威を知って、事故を未然に防ぎませんか?
ぜひダウンロードして、今後のセキュリティ対策にお役立てください。


【2016年最新セキュリティ脅威レポート】目次
1. おもなWebアプリケーション診断項目
2. ペネトレーションテスト内容とは?
-2015年度ペネトレーションテスト初回診断時総合評価の結果一覧
-脅威レベル深刻度別・脆弱性の該当比率一覧
3. 2015年度に多く検出された脆弱性とは?
4. ペネトレーションテストで発見した、新らなる脅威とは?
-最近また増えた、ウイルス感染配布サイト
-パケット改ざんプログラムによる被害

セキュリティレポートをダウンロードする >