Webサイト利用者への受動的攻撃の踏み台利用を目的としたWeb改ざんが世間を騒がせている。日本IBMのSOC(セキュリティ・オペレーション・センター)においても,中国を発信源とする一連のSQLインジェクション攻撃を断続的に観測しており,今後も同様の攻撃が続くものと見ている。 Web改ざん自体は目新しいものではないが,動機は自己顕示・愉快犯から金銭目的に変わった。攻撃の手口も,公開されている攻撃コードを単純かつ無差別に試すスクリプトキディ的なものから,周到に準備する傾向に変化している。Webサイト管理者には,自らのサイトに対する直接的な攻撃の防御に加え,第三者に対する攻撃に加担させられないためのセキュリティを考慮することが今後ますます求められる。今回はWeb改ざんによる不正プログラムの挿入を防ぐ上で,見落としがちな例を取り上げる。 Webページの改ざんを許してしまうWebアプリケーションのぜ