Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

IPA自身も狙われる「SQLインジェクション攻撃」に注意呼びかけ

情報処理推進機構(IPA)は、ウェブサイト管理者へ急増するSQLインジェクション攻撃へ注意を呼びかけている。同機構に対する攻撃も2008年第1四半期と比較し、4月は大幅に増加した。

2008年3月ごろSQLインジェクション攻撃が増加。セキュリティベンダーなど、被害規模が数十万サイトに及ぶとの報告も行われている。また同機構に寄せられる脆弱性の約3割がSQLインジェクションとなっている。

さらに5月6日に、SQLインジェクション攻撃を行うワームが見つかるなど、被害拡大のおそれが懸念されている。SQLインジェクション攻撃が成功すると、データベースに蓄積された情報の漏洩や改ざん、不正操作など被害を受ける可能性がある。

IPAのオープンソース情報データベース「OSS iPedia」においても、攻撃が成功したケースはなかったが、2008年1月から4月までのログを解析したところ44件の攻撃が確認されている。そのうち29件は4月に発生したものだった。

同機構では、ウェブサーバのアクセスログの調査や、攻撃が確認された場合に不正なリンクが含まれていないかチェックする必要があるほか、ウェブサイトの脆弱性検査など日ごろより対策を実施しておく必要性を強調。

同機構では、従来よりこうした攻撃の防御に参考となる「安全なウェブサイトの作り方」でや脆弱性を検出する簡易ツール「iLogScanner」を提供している。

(Security NEXT - 2008/05/15 ) このエントリーをはてなブックマークに追加

PR

関連記事

脆弱性の届出、前四半期の約3分の2に - ウェブ関連が半減
「ちばシティポイント」参加者のアカウント情報などが外部流出の可能性 - 千葉市
SQLi攻撃で顧客のメールアドレスが流出 - ロゴヴィスタ
SAP、複数の深刻な脆弱性を修正するアップデート - CVSS値が最高値の脆弱性も
SAP、月例パッチを公開 - 深刻な脆弱性も複数修正
OSSショッピングカートツールにSQLi脆弱性
ゲーム事業者への攻撃が増加 - ただしDDoS攻撃は減少
顧客アカウント情報が外部流出、SQLi攻撃で - 日本ケミカルデータベース
2020年は1930億件のPWリスト攻撃を観測 - 約10億件を観測した日も
Kaseya、ゼロデイ攻撃受けたIT管理製品のアップデートを公開