ここではファイルインクルードの脆弱性を悪用したサイバー攻撃についてリサーチ。攻撃を受けるとどのような被害が想定されるのか、発生理由や対策についてご紹介します。
プログラムの中で別ファイルを参照(ファイルインクルード)している場合、攻撃者が意図的にファイル名を修正し、別ファイルを読み込ませることで不正な処理をさせることを言います。システムが外部のファイルを読み込む場合はリモートファイルインクルード、システム内のファイルを読み込む場合はローカルファイルインクルードと呼びます。
ファイルインクルード攻撃は悪意のあるファイルを参照させることで不正な処理を実行します。それにより機密情報の流出やWebアプリケーションの改ざん、他のサーバー攻撃と組み合わせてシステムを乗っ取るといったことが起きます。またスパムメールの送信やDos攻撃を仕掛けるための情報取得などに利用されることもあります。
ファイルインクルード攻撃に関する具体的な被害事例は見つかりませんでした。これは 他のサイバー攻撃と組み合わせて行われることがあり、サイバー攻撃の報告に占める割合は他よりも小さいことが考えられます。
リモートファイルインクルードはWebアプリケーションへの攻撃でよく使用される4つの手法の中に入りますが、ディレクトリトラバーサル37%、SQLインジェクション23%、クロスサイトスクリプティング(XSS)36%に対し、4%と低い数字になっています。
これは対策をしなくてもよいことを意味するわけではありません。適切な対策を講じないとファイルインクルードを足掛かりに他のサイバー攻撃につながってしまうからです。被害を拡大させないためにも脆弱性チェックはしっかり行っておきましょう。
脆弱性診断(セキュリティ診断)とは?
目的や必要性について詳しく見る
プログラム上で他のファイルを読み込むこと自体は不正処理ではありません。むしろよく行われることなのですが、問題はインクルードされるファイル名が外部から指定できることと、インクルードしてもよいファイル名か否かのバリデーションチェックが行われていないことにあります。
Webサーバでファイルを開く場合はディレクトリは固定する、アクセス権を適切に設定するなど対策方法はあります。ファイルインクルード攻撃は他のサイバー攻撃と同様にシステムの脆弱性を悪用するものですので対策を怠れば被害は発生します。
当ページの監修協力であるホワイトハッカーが所属する株式会社アルファネット。事務機器用品を中心とするカタログ通販サービス「たのめーる」が有名な大塚商会のグループ企業です。
大塚商会はコンピュータ・ネットワーク関連のシステムインテグレーション事業や、コンピュータ機器の保守、アウトソーシングのサービスも中核にしており、その中でアルファネットはサイバーセキュリティ対策の専門グループ企業として活躍しています。
巨大なデータベース・ネットワークを日々守り続けているのは、ホワイトハッカーの主導による正確な診断と、ツールによる包括的な診断によるもの。大塚商会のグループ企業や顧客を中心に、そのサービスを提供してきました。
またメール訓練など、社員育成の提供にも力を入れています。
ペネトレーションテスト(Webアプリケーション侵入試験)/標的型メール訓練サービス/情報セキュリティ教育/CSIRT構築/クラウド型WAFサービス/セキュリティ診断サービス/ランサムウェア対策調査サービス