事後対応を誤ったSQLインジェクションの被害事例を紹介 - IPA

情報処理推進機構（IPA）は、SQLインジェクション攻撃を半年間にわたり受けていたにも関わらず、事故の公表を避け、調査が進展しなかった不正アクセス被害の事後対応事例を紹介している。IPAでは、閲覧者にも被害が及ぶ可能性があったとして、対応の不備を指摘している。

IPAでは、毎月不正アクセスに関する届け出状況を取りまとめ、公表しているが、そのなかで紹介したもの。問題の事故事例では、IPAのSQLインジェクション検出ツール「iLogScanner」により、半年前より攻撃を受け、数万件におよぶ攻撃成功の形跡を見つけたものの、組織幹部が事実の公表を見送り、詳細調査が行えなくなったという。

IPAではSQLインジェクション攻撃によるデータベースの改ざん被害について、サイト閲覧者へ被害を与える可能性があり、被害に関する調査や影響範囲を明らかにすることが最優先だとして、同事例の対応方法における問題点を指摘。

組織内部で対応が難しい場合は、専門家へ調査を依頼し、不正アクセスの影響が外部へ及ぶ場合は事実や対応方法の告知や、二次被害への対策などが必要など、適切な対応について解説した。

また、IPAでは脆弱性への対応方法などをまとめた資料をウェブサイト上で公開しており、事故発生時の対応時に、こうした資料を活用してほしいと呼びかけている。

（Security NEXT - 2009/04/03 ） ツイート

PR

関連記事

サイトに脆弱性攻撃、会員メールアドレスが流出した可能性 - マリンネット
APIゲートウェイ向けにOSSのセキュリティプラグインを公開
研究参加者のメアドが流出か、SQLi攻撃の痕跡 - 統数研
SQLi攻撃で顧客情報流出、顧客に脅迫メールも - アパレルブランド
資格検定申込サイトへSQLi攻撃 - メアド流出の可能性
経産省、メタップスPに行政処分 - 診断で脆弱性見つかるも報告書改ざん
問合システムにブラインドSQLi攻撃、メアド流出の可能性 - 名古屋大
矢野経済研究所に不正アクセス - SQLi攻撃でアカウント情報が流出
サーバに大量のSQLi攻撃、メアド流出か - エフシージー総研
ほくせんカードの会員サイトにSQLi攻撃 - 顧客情報4.4万件が流出の可能性