ハッカーの金鉱脈「SQLインジェクション」の正体
最近,「SQLインジェクション」の危険性について語られる機会が増えているが,SQLインジェクションの正体,その問題点,そしてそれを防ぐための方策について詳しく理解している人はまだ多くない。ここでは,SQLインジェクションとは何かを明確に定義し,どのようにして行われるかを説明し,SQLインジェクションから組織を守る方法を読者に伝えることによって,この状況を改善したい。 SQLインジェクションとは何か SQLインジェクションとは,アプリケーションに含まれるコーディング・エラーが原因となって引き起こされるぜい弱性,または欠陥である。SQLインジェクションは,ユーザーが入力したデータを使ってアプリケーションがSQLステートメントを作成し,それをSQL Serverに送信して実行する場合に発生する。この欠陥が及ぼす影響は,コーディング・エラーの性質によって様々である。 具体的に言うと,その影響は,エ
SQLインジェクション攻撃が激増
SecureWorksによれば、1~3月には1日当たり100~200件程度だったSQLインジェクション攻撃が、4月に入って1000件から4000件、8000件という規模になったという。 ITセキュリティ管理サービスの米SecureWorksは7月18日、銀行や信用組合、公益企業を標的としたSQLインジェクション攻撃が、過去3カ月で激増していると発表した。 1~3月にかけて同社が遮断したSQLインジェクション攻撃は1日当たり100~200件程度だったが、4月に入って激増し、1000件から4000件、8000件という規模になったという。 攻撃の大部分は米国外から仕掛けられ、特定の組織に標的を絞る傾向が見られると同社。攻撃が巧妙になれば顧客データベースにアクセスされ、口座番号やクレジット番号、社会保障番号などが盗み出される恐れがあると解説している。 最近のSQLインジェクション攻撃としては、昨年
槻ノ木隆の「BBっとWORDS」 その81「SQLインジェクションの流れ」
■ SQLインジェクションって何? 最近はやや下火になりましたが、2005年に随分猛威をふるったのがSQLインジェクション(SQL Injection)を使った不正アクセスでしょう。実際、情報処理推進機構(IPA)の「情報セキュリティ白書2006年版」によると、2005年のセキュリティの10大脅威の第1位が「事件化するSQLインジェクション」でした(関連記事)。では、そもそもSQLインジェクションというのは何でしょう? Injectionを辞書で引くと、投入や噴射、注入といった訳語が出てきますが、「SQLを投入」といっても意味がわかりません。あえてこれを訳すと「データベースに外部から不正なSQLを投入・実行する方法」ということになるでしょうか。ただ、これでも理解しにくいかもかもしれませんので、順を追ってもう少し説明していくことにしましょう。 ■ SQLインジェクションが起き得るケースの前提
SQLインジェクションを防ぐための方法とは - WASフォーラムが公開 | エンタープライズ | マイコミジャーナル
Webアプリケーションのセキュリティに関して情報共有などを行う「Web Application Securityフォーラム(WASフォーラム)」は、Webアプリケーションの脆弱性として注目を集めているSQLインジェクションへの対応策をまとめた文書「SQL Injection Defense Tree」を公開した。文書はWASフォーラムのWebサイトからダウンロードできる。 SQLインジェクションは、SQLを使ったWebアプリケーションで、入力文字中にメタキャラクタが挿入され、本来はデータとして解釈される部分が命令文として処理されることで、実行されてしまうという脆弱性、または攻撃手法のことをいう。たとえばユーザー名とパスワードでログインするようなWebアプリケーションにこの脆弱性があった場合、入力文によってはユーザー名とパスワードを知らなくてもアクセスできてしまう。 最近では、SQLインジェ
「急増するSQLインジェクション攻撃,『データベース・セキュリティ』が一層重要に」---DBSCのセミナーより
「最近注目されている『SQLインジェクション攻撃』だが,決して新しいものではない。3~4年前から行われているので,『何をいまさら』というのが専門家の見方だ。ただし,2004年9~10月ごろから“使いやすい”攻撃ツールが公開されているために,SQLインジェクション攻撃が急増しているのは確かだ」――。ラックの代表取締役社長である三輪信雄氏などは7月25日,データベース・セキュリティ・コンソーシアム(DBSC)のセミナーにおいて,SQLインジェクション攻撃やデータベース・セキュリティについて解説した。 DBSCとは,データベースに関するセキュリティの議論や研究,情報発信を行うためのコンソーシアム。2005年2月に設立された。ラックの三輪氏が事務局長を務める。設立目的は,「データベース・セキュリティにかかわるさまざまな人々が集まれる場所を提供するため」(三輪氏)。 一口に“データベース・セキュリテ
SQLインジェクションに気をつけろ
「SQLインジェクション」によると思われる公開サーバーへの攻撃が相次いでいる。 SQLインジェクションとは,Webアプリケーションの脆弱性を突く攻撃手法の一つ。SQLインジェクション自体は目新しいものではない。しかし,SQLインジェクションを自動的に行うツールの出現により,最近特に目立ち始めたという。 業種や事業規模にかかわらず,Webサーバーを運営している企業/組織にとっては対岸の火事ではない。いつ狙われても不思議ではない。対策が急務である。「ウチはきちんと対策をしている」と考えている企業/組織も改めて確認すべきである。セキュリティに万全はない。 本稿では,IT Proに掲載したSQLインジェクションに関する記事をまとめた。対策を施すときや再確認時の参考にしていただければ幸いである。 ニュース ◆「WWWアプリケーションの92%が攻撃に対して脆弱性有り」,米WebCohortの調査 [2
言葉は知られていても危険性までは認識されていない「SQLインジェクション」
IPA/ISECは、不正アクセスを受けWebサーバが改ざんされた5月の事例を踏まえ、Webアプリケーションについてもセキュリティ対策が必要であると呼びかけた。 情報処理推進機構セキュリティセンター(IPA/ISEC)は6月6日、2005年5月のウイルスおよぶ不正アクセスの届出状況をまとめ、公開した(別記事参照)。 この中でIPA/ISECは、不正侵入報告10件のうち、Webサーバに侵入されてコンテンツを改ざんされた事件が7件あり、うち1件では、ユーザーがWebページを閲覧しただけでウイルスに感染する仕組みを埋め込まれていたことをに言及。この事例では、原因は不明だが「セキュリティパッチ適用や外部からのサーバアタック診断を適切に実施していたにもかかわらず、サーバへの侵入を許す結果」となった。 IPA/ISECによると、この事例のWebサイトでは、ただ情報を公開するだけの静的なコンテンツだけでな
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
OZmallの不正アクセス事件、手口は「SQLインジェクション」