Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

検知逃れなど悪質化進む「SQLインジェクション」 - ラックが対策レポート

ラックは、SQLインジェクションによる被害の対策支援サービスを提供した実績をもとに、ウェブサイトのデータベースに関するセキュリティ対策のレポートを取りまとめ、発表した。

今回公開された「緊急対応から見たWebサイト用データベースセキュリティ対策~継続するSQLインジェクションの脅威」は、SQLインジェクション攻撃の確認方法や、ウェブサイトで利用するデータベースに見られる不備、具体的な対策方法などをわかりやすく取りまとめたレポート。

同社研究機関であるサイバーリスク総合研究所のデータベースセキュリティ研究所が、実際に情報漏洩対策サービスを提供する際に得たデータを元に傾向などを分析、作成した。

今回レポートで取り上げた「SQLインジェクション」は、2008年3月以降に攻撃が急増。同社のセキュリティオペレーションセンター「JSOC」では、5月に過去最悪となる約16万件弱の攻撃を検知。6月は10万件前後まで落ち着いたものの、7月は過去最悪だった5月に再び迫る勢いで約15万件まで増加している。

同社では、攻撃拡大の背景に中国のウェブサイトによる攻撃方法の公開があると分析。実際に被害を受けたとしてサービスの利用者が増加しているという。

被害は、「Microsoft IIS」と「SQL Server」の組み合わせで発生していると指摘。同プラットフォームに脆弱性が存在するわけではないが、セキュリティに関する知識が不十分なまま、ウェブアプリの開発を行っているケースが多いと同社は警告を発している。

また中国で配布されている攻撃ツールは自動化されており、効率よく行なわれるため短期間に被害が拡大するおそれがある。また最近のSQLインジェクション攻撃手法は、検知を逃れる目的で難読化されているなど、巧妙化が進んでいるという。

レポートでは、データベースにおける問題として「ユーザーのアクセス権限の過剰」「重要情報が暗号化されていない」「アクセスログの未取得」を挙げており、無料解析ツールの活用やデータベースの確認などチェック方法を紹介。さらに「権限管理」や「主要操作のログ記録」などデータベースで実施すべき対策について具体的に解説している。

(Security NEXT - 2008/08/06 ) このエントリーをはてなブックマークに追加

PR

関連記事

セキュアブレイン、ウェブアプリのソースコード診断を開始
「プレミアム・アウトレット」からの流出データ、5カ所で公開を確認
MS&Consulting、登録者情報約57万件が流出か - あらたな可能性判明で件数修正
フォトブログ「Pixelpost」に複数脆弱性 - すでに開発は終了、利用中止を
データベース監視やPCI DSS準拠などに活用できるアプライアンス - LogLogic
覆面調査サービスに不正アクセス、PWなど漏洩 - WAF設定ミスで攻撃防げず
園芸振興センターの会員情報が流出、一時ダークウェブ上に - 宝塚市
2018年1Qの脆弱性届出は138件 - 前四半期から倍増
2018年1Qの脆弱性登録は3113件 - Linux関連が上位に
「サイボウズGaroon」に複数の脆弱性 - アップデートがリリース