メルマガ購読
独立行政法人 情報処理推進機構(略称:IPA)は18日に、ウェブサイトのSQLインジェクションの脆弱性を検出する簡易ツール「iLogScanner」を公開した。
IPAによれば、データベースへのSQL(Structured Query Language)文の問題点(脆弱性)を悪用し、攻撃によってデータベースの不正利用をまねく、いわゆる「SQLインジェクション攻撃」がここ数年急増しており、その対策を促進するため、本ツールを公開したとのこと。
「iLogScanner」は、IPAのウェブサイト(iLogScanner提供サイト)からダウンロードし、利用者のウェブブラウザ上で実行するJavaアプレット形式のプログラムとなっている。ウェブサーバのアクセスログの中からウェブサイトの攻撃によく用いられる文字列を検出し、ウェブサイトが日頃どれだけの攻撃を受けているか、また、ウェブサイトの脆弱性により攻撃が成功した可能性があるかなど、痕跡の有無を解析結果レポートとして出力できる。現在、検出できるものはSQLインジェクションのみだが、今後、クロスサイト・スクリプティングやOSコマンド・インジェクションなどにも、順次対応を拡大していく予定。
なお、iLogScanner自体はあくまで検出の機能しか持たないため、SQLインジェクション攻撃が検出された場合、特に攻撃が成功した可能性が検出された場合は、ウェブサイトの開発者やセキュリティベンダーに相談することを推奨するとのこと。また実際の攻撃による脆弱性検査も行っていないため、攻撃が検出されなかった場合でも、安心せずにウェブサイトの脆弱性検査を行うことを推奨するとのこと。
IPA、“SQLインジェクション脆弱性”の検出ツール「iLogScanner」を公開
2008年4月18日(金) 16時54分
脆弱性検出ツールの使用例
脆弱性検出ツールの利用イメージ
脆弱性検出ツールの解析結果の例
《冨岡晶》
注目ニュース
17日、情報処理推進機構(IPA)は、情報セキュリティ関連の被害状況や対策を把握するためのアンケート調査の結果を報告書として公開した。
情報処理推進機構(IPA)は11日、情報処理産業の財務、経営状況の現状を把握し、今後の経営の参考に供することを目的として1978年以降毎年実施されている「情報処理産業経営実態調査報告書」の結果を発表...
独立行政法人 情報処理推進機構(IPA)は26日より、「2008年度中小企業経営革新ベンチャー支援事業」の公募を開始した。公募期間は5月7日17時まで。
情報処理推進機構コーディネーションセンター(JPCERT/CC)は14日、ここ数日、Webサイトに対するSQLインジェクション攻撃が行われ、Webサイトが改ざんされる被害が発生していると警告した。
ぽんこつは14日より、ブラウザ・オーバーレイ技術「Nayuta」サービスの試験運営を開始した。
独立行政法人 情報処理推進機構(IPA)は6日、「安全なウェブサイトの作り方 改訂第 3版」を公開した。
独立行政法人 情報処理推進機構(IPA)は28日に、ソフトウェア製品やウェブサイトのセキュリティ対策などを推進するため、「ウェブサイト運営者のための脆弱性対応ガイドなどのドキュメントをIPAのウェブ...
独立行政法人 情報処理推進機構(IPA)は6日より、TCP/IPを実装する製品の開発者向けに、TCP/IPに係る既知の脆弱性検証ツールを開発・公開し、CD-ROMでの貸出を開始した。
情報処理推進機構は4日、2008年1月のコンピュータウイルス・不正アクセスの届出状況のまとめを発表した。
独立行政法人 情報処理推進機構(IPA)は29日に、「複数の組込み機器の組み合わせに関するセキュリティ調査報告書」と題する文書をIPAのウェブサイトで公開した。報告書本体49ページ、付録55ページが...
情報処理推進機構(IPA)は28日、ファイアウォールルーター「SRT100」、ブロードバンドVoIPルーター「RT58i」、イーサアクセスVPNルーター「RTX1100」など複数のヤマハ製ルーターに...
特集
- ├初の女性優勝……全国高等学校 情報処理選手権
- ├オープンソース情報データベース「OSS iPedia」がリニューアル 〜 目的別メニューでUI改善
- └サイフと同じく大切に!“IDとパスワード” 〜 2月のウイルス・不正アクセス状況[IPA]
- ├日本オラクル、不正なSQLコマンドを遮断する「Oracle Database Firewall」提供開始
- ├オラクル、ビッグデータの統合を支援する「Oracle Big Data Appliance」を発表
- └サイオステクノロジー、NTT研究所の社内システムにPostgres Plus Advanced Serverを導入
