メルマガ購読
独立行政法人 情報処理推進機構(略称:IPA、理事長:西垣浩司)は15日に、「SQLインジェクション攻撃に関する注意喚起」と題する文書を公表し、あらためて注意を呼びかけた。
SQLインジェクション攻撃とは、組み立て方に問題のあるSQL(Structured Query Language)文を悪用することで、細工されたSQL文をデータベースへの問い合わせの一部として埋め込んで(Injection)しまう攻撃。データベースに蓄積された情報の漏えい・改ざん、不正操作などの脅威がある。
同文書では、近年のSQLインジェクション攻撃の急増に対し、ウェブサイト管理者等への注意を喚起するとともに、ウェブサーバのアクセスログ調査およびウェブサイトの脆弱性検査等の対策実施を推奨している。
なお、IPAでは、SQLインジェクション攻撃への対策を、「安全なウェブサイトの作り方」で公開している。また、SQLインジェクション脆弱性の検出を簡易に行うツール「iLogScanner」を4月18日に公開している。
SQLインジェクション攻撃については、有限責任中間法人 JPCERT コーディネーションセンター(JPCERT/CC)や内外の情報セキュリティ対策企業がウェブサイトの改ざんや不正コードを仕掛けられたページ数が数十万に達している旨の注意喚起を、2008年3月頃より相次いで発表している。また、5月6日には、SQLインジェクション攻撃を行う悪質プログラムが確認された旨の注意喚起を米国SANS Instituteが実施している。なおIPAに届けられたウェブサイト(ウェブアプリケーション)の脆弱性の約3割は、SQLインジェクションの脆弱性だという。
たとえば、IPAで公開しているオープンソース情報データベース「OSS iPedia」の2008年1月〜4月のアクセスログを「iLogScanner」で解析したところ、合計44件のSQLインジェクション攻撃を検出した。攻撃に成功した件数は0件だったたが、4月は29件のSQLインジェクション攻撃があり、1〜3月に比べて増加しているとのこと。
IPA、SQLインジェクション攻撃についてあらためて注意呼びかけ
2008年5月15日(木) 18時53分
SQLインジェクション攻撃
特定のウェブブラウザの動作に依存した脆弱性の届出件数
SQLインジェクション脆弱性ツール「iLogScanner」の解析例
《冨岡晶》
注目ニュース
ソフトバンクは8日、平成20年度3月期(2007年4月〜2008年3月)の連結決算を発表した。
独立行政法人 情報処理推進機構(IPA)は2日、2008年4月のコンピュータウイルス・不正アクセスの届出状況について発表した。
IPAは1日、ソフトウェア関連分野の天才的な人材の発掘・育成を目的に実施している「未踏ソフトウェア創造事業」において、2007年度第1期、第2期事業で採択し支援した93件の中から18名を「天才プログ...
独立行政法人 情報処理推進機構(略称:IPA)は18日に、ウェブサイトのSQLインジェクションの脆弱性を検出する簡易ツール「iLogScanner」を公開した。
17日、情報処理推進機構(IPA)は、情報セキュリティ関連の被害状況や対策を把握するためのアンケート調査の結果を報告書として公開した。
情報処理推進機構(IPA)は11日、情報処理産業の財務、経営状況の現状を把握し、今後の経営の参考に供することを目的として1978年以降毎年実施されている「情報処理産業経営実態調査報告書」の結果を発表...
独立行政法人 情報処理推進機構(IPA)は26日より、「2008年度中小企業経営革新ベンチャー支援事業」の公募を開始した。公募期間は5月7日17時まで。
