Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

IPA自身も狙われる「SQLインジェクション攻撃」に注意呼びかけ

情報処理推進機構(IPA)は、ウェブサイト管理者へ急増するSQLインジェクション攻撃へ注意を呼びかけている。同機構に対する攻撃も2008年第1四半期と比較し、4月は大幅に増加した。

2008年3月ごろSQLインジェクション攻撃が増加。セキュリティベンダーなど、被害規模が数十万サイトに及ぶとの報告も行われている。また同機構に寄せられる脆弱性の約3割がSQLインジェクションとなっている。

さらに5月6日に、SQLインジェクション攻撃を行うワームが見つかるなど、被害拡大のおそれが懸念されている。SQLインジェクション攻撃が成功すると、データベースに蓄積された情報の漏洩や改ざん、不正操作など被害を受ける可能性がある。

IPAのオープンソース情報データベース「OSS iPedia」においても、攻撃が成功したケースはなかったが、2008年1月から4月までのログを解析したところ44件の攻撃が確認されている。そのうち29件は4月に発生したものだった。

同機構では、ウェブサーバのアクセスログの調査や、攻撃が確認された場合に不正なリンクが含まれていないかチェックする必要があるほか、ウェブサイトの脆弱性検査など日ごろより対策を実施しておく必要性を強調。

同機構では、従来よりこうした攻撃の防御に参考となる「安全なウェブサイトの作り方」でや脆弱性を検出する簡易ツール「iLogScanner」を提供している。

(Security NEXT - 2008/05/15 ) このエントリーをはてなブックマークに追加

PR

関連記事

セキュアブレイン、ウェブアプリのソースコード診断を開始
「プレミアム・アウトレット」からの流出データ、5カ所で公開を確認
MS&Consulting、登録者情報約57万件が流出か - あらたな可能性判明で件数修正
フォトブログ「Pixelpost」に複数脆弱性 - すでに開発は終了、利用中止を
データベース監視やPCI DSS準拠などに活用できるアプライアンス - LogLogic
覆面調査サービスに不正アクセス、PWなど漏洩 - WAF設定ミスで攻撃防げず
園芸振興センターの会員情報が流出、一時ダークウェブ上に - 宝塚市
2018年1Qの脆弱性届出は138件 - 前四半期から倍増
2018年1Qの脆弱性登録は3113件 - Linux関連が上位に
「サイボウズGaroon」に複数の脆弱性 - アップデートがリリース