メルマガ購読
情報処理推進機構(IPA)は17日、Webサーバのアクセスログ調査およびWebサイトの脆弱性検査、脆弱性対策の早急な実施を推奨する注意喚起を行った。
近年Webサイトを狙った攻撃が継続しており、特に2008年3月頃からSQLインジェクション攻撃によるWebサイトの改ざんやWebサイトへの不正コードの設置が多発、深刻な被害が頻発していることからIPAでは再度、Webサイト管理者などへ改めて注意を呼びかける。
攻撃の現状を把握する実例として、IPAが公開している「脆弱性対策情報データベースJVN iPedia」について、2009年4月から7月までのアクセスログを、「SQLインジェクション検出ツールiLogScanner」で解析したところ、さまざまな攻撃と思われる痕跡が検出された。それによると昨年激増した「SQLインジェクション攻撃」が6月ごろから再び急増し、2009年4月の21件に対して7月は534件と、約25倍の攻撃と思われる痕跡が検出された。また、「ディレクトリ・トラバーサル」の脆弱性を狙った攻撃も継続しているという。なおSQLインジェクションは、データベースと連携したWebアプリケーションに問い合わせ命令文の組み立て方法に問題があるとき、Webアプリケーションへ宛てた要求に悪意を持って細工されたSQL文を埋め込まれて(Injection)しまうと、データベースを不正に操作されてしまう問題。ディレクトリ・トラバーサルは、相対パス記法を利用して、管理者が意図していないWebサーバ上のファイルやディレクトリにアクセスされたり、アプリケーションを実行される問題だ。
「SQLインジェクション検出ツールiLogScanner」は、Webサーバのアクセスログのなかから、Webサイトを狙った攻撃によく用いられる文字列を検出し、Webサイトが日頃どれだけの攻撃を受けているか、また、攻撃が成功した可能性があるかを解析する簡易ツール。ブラウザ上で実行するJavaアプレット形式のツールで、IPAでは無償公開を行っている。IPAでは、届出を受けた脆弱性関連情報を基に、届出件数の多かった脆弱性や攻撃による影響度が大きい脆弱性を取り上げ、Webサイト開発者や運営者が適切なセキュリティを考慮した実装ができるようにするための資料、「安全なWebサイトの作り方」も公開中だ。
“iLogScanner”でサーバアクセスログの早急な調査を! 〜IPAが注意喚起
2009年8月17日(月) 14時58分
「SQLインジェクション検出ツールiLogScanner」での解析事例
《冨岡晶》
注目ニュース
情報処理推進機構(IPA)は5日、2009年7月のコンピュータウイルス・不正アクセスの届出状況をまとめた文書を公開した。
IPAとJPCERT/CCは15日、脆弱性対策情報ポータルサイト「JVN」において、Mozilla Firefox 3.5に任意のコードが実行される脆弱性が存在することを公表した。
IPA(情報処理推進機構)は3日、2009年上半期(1月〜6月)のコンピュータウイルス・不正アクセスの届出状況をとりまとめた文書を発表した。
情報処理推進機構(IPA)およびJPCERTコーディネーションセンターは18日、「iPhone OS」におけるセキュリティ上の弱点(脆弱性)に関する注意喚起を公表した。
情報処理推進機構(IPA)は22日、「情報セキュリティ対策ベンチマーク」のデータを最新版と入れ換えた、「バージョン3.2」の公開を開始した。
IPA(情報処理推進機構)は23日、標準的な通信開始手順である「SIP」に関して、「SIPに係る既知の脆弱性検証ツール」を開発したことを発表した。
独立行政法人 情報処理推進機構(IPA)は26日、2008年度に実施した調査の報告書「IT人材市場動向調査 調査報告概要版No.1」を公開した。
IPA(独立行政法人情報処理推進機構)情報処理技術者試験センターは23日、4月19日(日)に実施する「平成21年度春期情報処理技術者試験」の応募者数を公表した。
独立行政法人 情報処理推進機構(IPA)は23日、ソニー製ネットワークカメラSNCシリーズにおけるセキュリティ上の弱点(脆弱性)に関する注意喚起を公表した。
独立行政法人 情報処理推進機構セキュリティセンター(IPA/ISEC)は3日、1月のコンピュータウイルス・不正アクセスの届出状況について発表した。
こちらのサイトを見てほしい。一見すると、ブライス人形の新作PRサイト、あるいはパペットを使った少女向け特撮番組の宣伝サイトのようだ。しかしサイトのアドレス末尾は「go.jp」となっている!
IPA(情報処理推進機構)およびJPCERT/CC(JPCERTコーディネーションセンター)は26日、2008年第4四半期(10月〜12月)の脆弱性関連情報の届出状況を発表した。
IPA(独立行政法人 情報処理推進機構)は14日、「DNSキャッシュポイズニング対策」の資料を公開した。
IPAは13日、財団法人 日本品質保証機構 関西試験センターを、暗号モジュール試験および認証制度の暗号モジュール試験機関としてあらたに承認した。
独立行政法人 情報処理推進機構(IPA)は6日、同機構の職員によるファイル流出について、あらためて詳細を発表した。
独立行政法人 情報処理推進機構(IPA)は4日、同機構の職員がファイル交換ソフトを使用した結果、コンピュータウイルスに感染し、パソコン内の情報が流出したと発表した。
IPA(独立行政法人情報処理推進機構、理事長:西垣浩司)は19日、DNSサーバの脆弱性に関して改めて注意を喚起するとともに、DNSサーバのパッチ適用や設定変更の実施を呼びかけた。
情報処理推進機構(IPA)は15日、「漏れたら大変!個人情報」のページを公開した。
独立行政法人 情報処理推進機構セキュリティセンター(IPA/ISEC)は2日、2008年11月のコンピュータウイルス・不正アクセスの届出状況について発表した。
独立行政法人 情報処理推進機構(IPA)は5日、2008年10月のコンピュータウイルス・不正アクセスの届出状況について公表した。
独立行政法人情報処理推進機構(IPA)は17日、優れたオープンソースソフトウェア(OSS)の開発者やOSSの普及に貢献した人物を表彰する「2008年度日本OSS貢献者賞」の受賞者を発表した。
情報処理推進機構(IPA)は2日、オークションサイトなどのアカウントの不正利用を回避するために、パスワードの作成・管理に注意を呼びかけた。
情報処理推進機構(IPA)は18日、DNSサーバに対するDNSキャッシュポイズニングの疑いの届出が激増している現状をうけて、DNSサーバのパッチ適用や設定変更をあらためて呼びかけ、注意喚起を行った。
情報処理推進機構(IPA)は9日、2008年6月から8月までの3か月連続でワンクリック不正請求に関する相談件数が最多件数を更新し続けている事態をうけて、ワンクリック不正請求を中心とした有害サイトの状...
情報処理推進機構(IPA)は2日、心当たりのないメールは興味本位で開かずにすぐ捨てるよう呼びかけを行った。
独立行政法人 情報処理推進機構セキュリティセンター(IPA/ISEC)は7日に、夏休み前のセキュリティ対策確認を呼びかける文書を発表した。
情報処理推進機構(IPA)は4日、2008年7月のコンピュータウイルス・不正アクセスの届け出状況のまとめを発表した。
情報処理推進機構は14日、「平成20年度秋期情報処理技術者試験」の受験申込の受付を開始した。試験日は10月19日、受験料は5,100円。
独立行政法人 情報処理推進機構セキュリティセンター(IPA/ISEC)は2日、2008年6月および2008年上半期のコンピュータウイルス・不正アクセスの届出状況について発表した。
独立行政法人情報処理推進機構(IPA)は18日に、ウェブサイト運営上の事件を体験的に学習できるソフトウェア「安全なウェブサイト運営入門—7つの事件を体験し、ウェブサイトを守り抜け!—」を公開した。
