Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

検知逃れなど悪質化進む「SQLインジェクション」 - ラックが対策レポート

ラックは、SQLインジェクションによる被害の対策支援サービスを提供した実績をもとに、ウェブサイトのデータベースに関するセキュリティ対策のレポートを取りまとめ、発表した。

今回公開された「緊急対応から見たWebサイト用データベースセキュリティ対策~継続するSQLインジェクションの脅威」は、SQLインジェクション攻撃の確認方法や、ウェブサイトで利用するデータベースに見られる不備、具体的な対策方法などをわかりやすく取りまとめたレポート。

同社研究機関であるサイバーリスク総合研究所のデータベースセキュリティ研究所が、実際に情報漏洩対策サービスを提供する際に得たデータを元に傾向などを分析、作成した。

今回レポートで取り上げた「SQLインジェクション」は、2008年3月以降に攻撃が急増。同社のセキュリティオペレーションセンター「JSOC」では、5月に過去最悪となる約16万件弱の攻撃を検知。6月は10万件前後まで落ち着いたものの、7月は過去最悪だった5月に再び迫る勢いで約15万件まで増加している。

同社では、攻撃拡大の背景に中国のウェブサイトによる攻撃方法の公開があると分析。実際に被害を受けたとしてサービスの利用者が増加しているという。

被害は、「Microsoft IIS」と「SQL Server」の組み合わせで発生していると指摘。同プラットフォームに脆弱性が存在するわけではないが、セキュリティに関する知識が不十分なまま、ウェブアプリの開発を行っているケースが多いと同社は警告を発している。

また中国で配布されている攻撃ツールは自動化されており、効率よく行なわれるため短期間に被害が拡大するおそれがある。また最近のSQLインジェクション攻撃手法は、検知を逃れる目的で難読化されているなど、巧妙化が進んでいるという。

レポートでは、データベースにおける問題として「ユーザーのアクセス権限の過剰」「重要情報が暗号化されていない」「アクセスログの未取得」を挙げており、無料解析ツールの活用やデータベースの確認などチェック方法を紹介。さらに「権限管理」や「主要操作のログ記録」などデータベースで実施すべき対策について具体的に解説している。

(Security NEXT - 2008/08/06 ) このエントリーをはてなブックマークに追加

PR

関連記事

「Movable Type」向け会員制サイト構築用プラグインなどにSQLiの脆弱性
トレンドの統合管理製品に9件の脆弱性 - パッチ適用を
「WordPress 4.8.3」が公開 - 修正不十分だった「SQLi脆弱性」に対応
OSS開発者向けにウェブアプリ脆弱性検査サービスを無償提供 - ビットフォレスト
「WordPress」に複数の脆弱性 - プレースホルダ利用でもSQLiのおそれ
ウェブアプリ脆弱性検査サービス「VAddy」がプライベートネットワークの検査に対応
オープンソースのSEO管理ツールに複数の脆弱性
「baserCMS」にPHPコードの実行やDB操作が可能となる脆弱性
インターコムの「MaLion」に認証不備やSQLiなど複数の脆弱性
2017年2Qの脆弱性届け出は269件 - ソフトウェア関連が2.6倍に