IPA、Webサイトの管理者にSQLインジェクション攻撃への注意を呼びかけ

ニュース

2008/05/15 19:40

 情報処理推進機構(IPA、西垣浩司理事長)は5月15日、Webサイト管理者などへ向けて、SQLインジェクション攻撃の注意を喚起するメッセージを発表した。

 SQL(Structured Query Language)は、データベースへの問い合わせ命令文を組立てるために、Webアプリケーションが使用するコンピュータ言語。組み立て方法に問題があった場合、悪意を持って細工されたSQL文もデータベースへの問い合わせの一部として埋め込んでしまい、データベースの情報の漏えいや改ざん、不正操作などが行われる危険性が発生する。

 そこで、データベースを利用しているWebサイトの運営者が、SQLインジェクション攻撃によりWebサイトに被害が発生していないかを確認するため、Webサーバーのアクセスログを常に調査し、攻撃があった場合は、データベースに認知していないリンクが含まれていないかをチェックする必要があると警告している。

 また、SQLインジェクション攻撃への対策を「安全なウェブサイトの作り方」で公開。SQLインジェクション脆弱性の検出を簡易に行うツール「iLogScanner」を4月18日にリリースした。Webサーバーのアクセスログの中から、SQLインジェクション攻撃によく用いられる文字列を検出し、Webサイトがどれだけの攻撃を受けているか、Webサイトの脆弱性により攻撃が成功した可能性があるかを解析できる。