Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

IPA自身も狙われる「SQLインジェクション攻撃」に注意呼びかけ

情報処理推進機構(IPA)は、ウェブサイト管理者へ急増するSQLインジェクション攻撃へ注意を呼びかけている。同機構に対する攻撃も2008年第1四半期と比較し、4月は大幅に増加した。

2008年3月ごろSQLインジェクション攻撃が増加。セキュリティベンダーなど、被害規模が数十万サイトに及ぶとの報告も行われている。また同機構に寄せられる脆弱性の約3割がSQLインジェクションとなっている。

さらに5月6日に、SQLインジェクション攻撃を行うワームが見つかるなど、被害拡大のおそれが懸念されている。SQLインジェクション攻撃が成功すると、データベースに蓄積された情報の漏洩や改ざん、不正操作など被害を受ける可能性がある。

IPAのオープンソース情報データベース「OSS iPedia」においても、攻撃が成功したケースはなかったが、2008年1月から4月までのログを解析したところ44件の攻撃が確認されている。そのうち29件は4月に発生したものだった。

同機構では、ウェブサーバのアクセスログの調査や、攻撃が確認された場合に不正なリンクが含まれていないかチェックする必要があるほか、ウェブサイトの脆弱性検査など日ごろより対策を実施しておく必要性を強調。

同機構では、従来よりこうした攻撃の防御に参考となる「安全なウェブサイトの作り方」でや脆弱性を検出する簡易ツール「iLogScanner」を提供している。

(Security NEXT - 2008/05/15 ) このエントリーをはてなブックマークに追加

PR

関連記事

「Movable Type」向け会員制サイト構築用プラグインなどにSQLiの脆弱性
トレンドの統合管理製品に9件の脆弱性 - パッチ適用を
「WordPress 4.8.3」が公開 - 修正不十分だった「SQLi脆弱性」に対応
OSS開発者向けにウェブアプリ脆弱性検査サービスを無償提供 - ビットフォレスト
「WordPress」に複数の脆弱性 - プレースホルダ利用でもSQLiのおそれ
ウェブアプリ脆弱性検査サービス「VAddy」がプライベートネットワークの検査に対応
オープンソースのSEO管理ツールに複数の脆弱性
「baserCMS」にPHPコードの実行やDB操作が可能となる脆弱性
インターコムの「MaLion」に認証不備やSQLiなど複数の脆弱性
2017年2Qの脆弱性届け出は269件 - ソフトウェア関連が2.6倍に