IPA、“SQLインジェクション脆弱性”の検出ツール「iLogScanner」を公開
エンタープライズ
その他
-
コスパ最強の“手のひらサイズ”ミニPC「GT13 Pro 2025 Edition」「A5 2025 Edition」がGEEKOMから登場!
-
約3割の組織でWindows 98、Meがまだ存続?——IPA情報セキュリティ調査
-
2006年度の情報処理産業は売上2.5%増、大企業で増加の反面、中小企業では減少〜IPA調べ
IPAによれば、データベースへのSQL(Structured Query Language)文の問題点(脆弱性)を悪用し、攻撃によってデータベースの不正利用をまねく、いわゆる「SQLインジェクション攻撃」がここ数年急増しており、その対策を促進するため、本ツールを公開したとのこと。
「iLogScanner」は、IPAのウェブサイト(iLogScanner提供サイト)からダウンロードし、利用者のウェブブラウザ上で実行するJavaアプレット形式のプログラムとなっている。ウェブサーバのアクセスログの中からウェブサイトの攻撃によく用いられる文字列を検出し、ウェブサイトが日頃どれだけの攻撃を受けているか、また、ウェブサイトの脆弱性により攻撃が成功した可能性があるかなど、痕跡の有無を解析結果レポートとして出力できる。現在、検出できるものはSQLインジェクションのみだが、今後、クロスサイト・スクリプティングやOSコマンド・インジェクションなどにも、順次対応を拡大していく予定。
なお、iLogScanner自体はあくまで検出の機能しか持たないため、SQLインジェクション攻撃が検出された場合、特に攻撃が成功した可能性が検出された場合は、ウェブサイトの開発者やセキュリティベンダーに相談することを推奨するとのこと。また実際の攻撃による脆弱性検査も行っていないため、攻撃が検出されなかった場合でも、安心せずにウェブサイトの脆弱性検査を行うことを推奨するとのこと。
関連ニュース
-
約3割の組織でWindows 98、Meがまだ存続?——IPA情報セキュリティ調査
-
2006年度の情報処理産業は売上2.5%増、大企業で増加の反面、中小企業では減少〜IPA調べ
-
IPA、“新時代の中小ITベンチャー”を発掘〜「2008年度中小企業経営革新ベンチャー支援事業」公募開始
-
JPCERT/CC、SQLインジェクションによるWebサイト改ざんを警告
-
ぽんこつ、ウェブページに直接メモを貼れるブラウザ・オーバーレイ技術「Nayuta」サービスの試験運営を開始
-
IPA、「安全なウェブサイトの作り方」(改訂第3版)を公開〜SQLインジェクションなどの脆弱性事例を追加
-
IPA、ウェブサイト運営者のための「脆弱性対応ガイド」PDFファイルなどを公開
-
IPA、TCP/IP関連の“脆弱性検証ツール”を開発〜デベロッパ向けに無償貸出
-
IPA、2008年1月のウイルス・不正アクセス届出情報のまとめを発表〜ウイルスは減少傾向
-
組み込み機器のネットワーク化がセキュリティリスクを高める?〜IPA調査報告
-
ヤマハ製ルーターに脆弱性、ファームウェアの更新を〜IPA報告
