• HOME
• お知らせ
• サービス案内
• 会社概要
• お問い合わせ
• オフィシャルブログ
• ダウンロード

• セキュリティ情報

エイプリルフールは終了致しました

文書番号HACCHU20120401

チューイ喚起 - phpMyAdminに任意のSQLを実行される問題

ハッチュコンサルティング株式会社
公開日:2012年4月1日

概要

ハッチュコンサルティング株式会社（東京都文京区）は、本日（2012年4月1日）phpMyAdminに、リモートから任意のSQLを実行されてしまう問題があることをチューイ喚起する。悪用されると極めて危険であることから、phpMyAdmin利用者は自サイトの状況確認と対策を推奨する。

背景

phpMyAdminはWebのGUIからMySQLの管理が行えるソフトであり、PHPで記述され、オープンソースソフトウェアとして提供されている（提供元）。phpMyAdminは高機能で使いやすいことから人気があるが、脆弱性問題がしばしば発見されており、インターネット経由の攻撃対象になることも多いという問題が以前から指摘されていた（株式会社ラックによる注意喚起、弊社代表のブログ記事）。

発表する問題

ハッチュコンサルティング株式会社の調査により、phpMyAdminには、リモートから任意のSQLを実行させられてしまう問題があることが分かった。影響を受けるサイトの条件は以下の通りである。

• phpMyAdminをインターネットに公開している
• phpMyAdminに関してIPアドレス等の制限がない
• パスワードによる保護をしていない、あるいはパスワードが推測可能である

実証例

以下は、phpMyAdminの画面からSQLを指定しているところである。

「実行する」をクリックすると以下の画面となり、SQLが実行されていることが分かる。

影響

この攻撃を受けたサイトは、MySQLデータベース内の全ての情報の漏洩、改ざん、削除等の危険がある。

解決策・回避策

phpMyAdminのこの問題は、単純なセキュリティバグではなく、phpMyAdminの仕様に起因する根深い問題である。したがって、phpMyAdminのバージョンアップないしパッチ適用では回避できない。以下のいずれかの回避策を推奨する。

• phpMyAdminを使用していない場合は、phpMyAdminをアンインストールする（推奨）
• phpMyAdminのインストールされたディレクトリには外部からアクセスできないよう適切なアクセス制限を設ける

アクセス制限の手法としては以下がある。

• phpMyAdminのインストールされたディレクトリにはインターネットからアクセスできないように制限する
• phpMyAdminのインストールされたディレクトリにアクセスできるIPアドレスをホワイトリストにより制限する
• phpMyAdminのインストールされたディレクトリにSSLクライアント認証やHTTP認証（BASIC認証など）によるアクセス制限を設ける

また、以下を推奨する。

• phpMyAdminを最新版にバージョンアップする
• configディレクトリを削除する
• その他、phpMyAdminの警告表示を全て解決する

報告者

ハッチュコンサルティング　徳丸浩

免責

このセキュリティ情報は予告なしに改訂される場合がある。このセキュリティ情報を適用した結果についてHASHコンサルティング株式会社は一切の責任を負わず、利用者の利益のために、あるがままの状態で公開するものである。念のため申し添えると、この文書はエイプリルフールを意図して書いたものだが、著者の力量不足により嘘があまりないような気がする。