不正アクセス事件
事後対応を誤ったSQLインジェクションの被害事例を紹介 - IPA
ソーシャルブックマーク:
情報処理推進機構(IPA)は、SQLインジェクション攻撃を半年間にわたり受けていたにも関わらず、事故の公表を避け、調査が進展しなかった不正アクセス被害の事後対応事例を紹介している。IPAでは、閲覧者にも被害が及ぶ可能性があったとして、対応の不備を指摘している。
IPAでは、毎月不正アクセスに関する届け出状況を取りまとめ、公表しているが、そのなかで紹介したもの。問題の事故事例では、IPAのSQLインジェクション検出ツール「iLogScanner」により、半年前より攻撃を受け、数万件におよぶ攻撃成功の形跡を見つけたものの、組織幹部が事実の公表を見送り、詳細調査が行えなくなったという。
IPAではSQLインジェクション攻撃によるデータベースの改ざん被害について、サイト閲覧者へ被害を与える可能性があり、被害に関する調査や影響範囲を明らかにすることが最優先だとして、同事例の対応方法における問題点を指摘。
組織内部で対応が難しい場合は、専門家へ調査を依頼し、不正アクセスの影響が外部へ及ぶ場合は事実や対応方法の告知や、二次被害への対策などが必要など、適切な対応について解説した。
また、IPAでは脆弱性への対応方法などをまとめた資料をウェブサイト上で公開しており、事故発生時の対応時に、こうした資料を活用してほしいと呼びかけている。
情報処理推進機構
http://www.ipa.go.jp/
(Security NEXT - 2009/04/03更新)
本サイトの記事、図版等の無断転載を禁止します。
関連記事
Kasperskyへの不正アクセス、脆弱なサイト探しにGoogleを利用F-SecureのウェブサイトもSQLインジェクション攻撃受ける
Kasperskyのウェブサイトに不正アクセス - 個人情報流出との犯行声明を否定
東京都のサイト改ざん、原因はSQLインジェクション - 1月中旬に再開予定
SQLインジェクションによる改ざんが爆発的に増加 - 国内サイトの被害も
米Adobeでもウェブサイトが改ざん被害 - ソフォスが発見
JOGMECのウェブサイトがSQLインジェクションで改ざん - 不正サイトへの誘導
ゴルフダイジェスト・オンラインの不具合、原因は「SQLインジェクション」 - 利用者にはクーポン
ログが残らず、検知も難しい新手のSQLインジェクション攻撃が発生
茨城県などが運営するバイオ関係者支援サイトが改ざん被害 - 閲覧者に偽セキュリティソフト感染のおそれ
