SQLインジェクション攻撃などWebサイトを狙った攻撃の急増がみられるとして、情報処理推進機構(IPA)は17日、サイト管理者へ早急に脆弱性対策を実施するよう呼びかけた。
IPAが公開している脆弱性対策情報データベース「JVN iPedia」を対象に、今年4月から7月までのアクセスログを解析したところ、SQLインジェクション攻撃と思われる痕跡は、4月21件、5月33件だったものが、6月には287件に跳ね上がり、7月も534件と激増している。
SQLインジェクション攻撃は昨年猛威をふるい、多くの自治体や公的機関の正規サイトが改ざんされるなど深刻な被害をもたらした。あの攻撃の蔓延を再び許さないために、IPAは、Webサイト運営者に対し、管理するWebサーバーのアクセスログを調査し、攻撃実態や被害の有無を把握するようすすめている。
Webサーバーへの攻撃の解析や脆弱性の確認には、IPAが無料公開している簡易検出ツール「iLogScanner」が使える。iLogScannerは、SQLインジェクションのほか、最近目立って増えているディレクトリ・トラバーサル、またクロスサイト・スクリプティングなどの脆弱性を狙った攻撃も検出できる。
Webサイトへの攻撃を未然に防ぐ対策としては、IPAが公開している「安全なウェブサイトの作り方」が役立つ。第1章「ウェブアプリケーションのセキュリティ実装」では、SQLインジェクションはじめ9項目の脆弱性を取り上げ、脆弱性の原因そのものをなくす根本的解決策や、攻撃による影響の低減を期待できる保険的対策を示している。
【SQLインジェクション攻撃とは】
SQL(Structured Query Language)とは、データベースへの問い合わせなどを行う際に使用する言語で、データベースと連携したWebサイトで、利用者が入力した内容を基にウェブアプリケーションがデータベースに問い合わせし、その結果を反映するときなどに使われる。
ウェブアプリケーションにSQLインジェクションの脆弱性があると、ウェブアプリケーションからデータベースに発行するSQL文に、外部から任意の命令を挿入することが可能となり、攻撃者にデータベースを不正に操作されてしまう。この不正アクセス手法のことをSQLインジェクション攻撃という。
SQLインジェクション攻撃が成功すると、攻撃者がデータベース内の情報を自由に操作できるため、データベース内の情報の改ざん、消去、漏えいなどの危険性がある。また、改ざんされたWebページを閲覧した利用者が、気づかないうちにウイルスに感染してしまうこともある。2008年から急増をみせた一連の攻撃は、Webページにscriptタグを埋め込んで、閲覧者に悪質なJavaScriptを実行させ、ウイルスに感染させようとする。
(2009/08/19 ネットセキュリティニュース)
■ウェブサイトを狙った攻撃に関する注意喚起(IPA)
http://www.ipa.go.jp/security/vuln/documents/2009/200908_attack.html
■「安全なウェブサイトの作り方」改訂第3版(IPA)
http://www.ipa.go.jp/security/vuln/websecurity.html