IPA、“SQLインジェクション脆弱性”の検出ツール「iLogScanner」を公開

エンタープライズその他

2008年4月18日（金） 16時54分

　独立行政法人情報処理推進機構（略称：IPA）は18日に、ウェブサイトのSQLインジェクションの脆弱性を検出する簡易ツール「iLogScanner」を公開した。

　IPAによれば、データベースへのSQL（Structured Query Language）文の問題点（脆弱性）を悪用し、攻撃によってデータベースの不正利用をまねく、いわゆる「SQLインジェクション攻撃」がここ数年急増しており、その対策を促進するため、本ツールを公開したとのこと。

　「iLogScanner」は、IPAのウェブサイト（iLogScanner提供サイト）からダウンロードし、利用者のウェブブラウザ上で実行するJavaアプレット形式のプログラムとなっている。ウェブサーバのアクセスログの中からウェブサイトの攻撃によく用いられる文字列を検出し、ウェブサイトが日頃どれだけの攻撃を受けているか、また、ウェブサイトの脆弱性により攻撃が成功した可能性があるかなど、痕跡の有無を解析結果レポートとして出力できる。現在、検出できるものはSQLインジェクションのみだが、今後、クロスサイト・スクリプティングやOSコマンド・インジェクションなどにも、順次対応を拡大していく予定。

　なお、iLogScanner自体はあくまで検出の機能しか持たないため、SQLインジェクション攻撃が検出された場合、特に攻撃が成功した可能性が検出された場合は、ウェブサイトの開発者やセキュリティベンダーに相談することを推奨するとのこと。また実際の攻撃による脆弱性検査も行っていないため、攻撃が検出されなかった場合でも、安心せずにウェブサイトの脆弱性検査を行うことを推奨するとのこと。

《冨岡晶》