Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

事後対応を誤ったSQLインジェクションの被害事例を紹介 - IPA

情報処理推進機構(IPA)は、SQLインジェクション攻撃を半年間にわたり受けていたにも関わらず、事故の公表を避け、調査が進展しなかった不正アクセス被害の事後対応事例を紹介している。IPAでは、閲覧者にも被害が及ぶ可能性があったとして、対応の不備を指摘している。

IPAでは、毎月不正アクセスに関する届け出状況を取りまとめ、公表しているが、そのなかで紹介したもの。問題の事故事例では、IPAのSQLインジェクション検出ツール「iLogScanner」により、半年前より攻撃を受け、数万件におよぶ攻撃成功の形跡を見つけたものの、組織幹部が事実の公表を見送り、詳細調査が行えなくなったという。

IPAではSQLインジェクション攻撃によるデータベースの改ざん被害について、サイト閲覧者へ被害を与える可能性があり、被害に関する調査や影響範囲を明らかにすることが最優先だとして、同事例の対応方法における問題点を指摘。

組織内部で対応が難しい場合は、専門家へ調査を依頼し、不正アクセスの影響が外部へ及ぶ場合は事実や対応方法の告知や、二次被害への対策などが必要など、適切な対応について解説した。

また、IPAでは脆弱性への対応方法などをまとめた資料をウェブサイト上で公開しており、事故発生時の対応時に、こうした資料を活用してほしいと呼びかけている。

(Security NEXT - 2009/04/03 ) このエントリーをはてなブックマークに追加

関連リンク

PR

関連記事

農業求人サイトに不正アクセス、情報流出の可能性 - スパムや不審郵便物届く
結婚式招待状の通販サイトに不正アクセス - メアド約2.8万件が流出か
複数自治体などの省エネ支援サイトから登録者情報が流出 - 同一DB上データに影響波及
セキュアブレイン、ウェブアプリのソースコード診断を開始
「プレミアム・アウトレット」からの流出データ、5カ所で公開を確認
MS&Consulting、登録者情報約57万件が流出か - あらたな可能性判明で件数修正
覆面調査サービスに不正アクセス、PWなど漏洩 - WAF設定ミスで攻撃防げず
園芸振興センターの会員情報が流出、一時ダークウェブ上に - 宝塚市
不正アクセスで認定医情報が流出か - 日本がん治療認定医機構
「ヤマケイオンライン」への不正アクセス、一部個人情報の流出を確認