IPA自身も狙われる「SQLインジェクション攻撃」に注意呼びかけ

情報処理推進機構（IPA）は、ウェブサイト管理者へ急増するSQLインジェクション攻撃へ注意を呼びかけている。同機構に対する攻撃も2008年第1四半期と比較し、4月は大幅に増加した。

2008年3月ごろSQLインジェクション攻撃が増加。セキュリティベンダーなど、被害規模が数十万サイトに及ぶとの報告も行われている。また同機構に寄せられる脆弱性の約3割がSQLインジェクションとなっている。

さらに5月6日に、SQLインジェクション攻撃を行うワームが見つかるなど、被害拡大のおそれが懸念されている。SQLインジェクション攻撃が成功すると、データベースに蓄積された情報の漏洩や改ざん、不正操作など被害を受ける可能性がある。

IPAのオープンソース情報データベース「OSS iPedia」においても、攻撃が成功したケースはなかったが、2008年1月から4月までのログを解析したところ44件の攻撃が確認されている。そのうち29件は4月に発生したものだった。

同機構では、ウェブサーバのアクセスログの調査や、攻撃が確認された場合に不正なリンクが含まれていないかチェックする必要があるほか、ウェブサイトの脆弱性検査など日ごろより対策を実施しておく必要性を強調。

同機構では、従来よりこうした攻撃の防御に参考となる「安全なウェブサイトの作り方」でや脆弱性を検出する簡易ツール「iLogScanner」を提供している。

（Security NEXT - 2008/05/15 ）ツイート