SQLインジェクション攻撃、最近は「自動化してパワーアップ」 - @IT2009/03/13 「『SQLインジェクション 2.0』とでも表現できる攻撃が登場している」――先日来日した米インパーバのプロダクトマーケティング担当ディレクター、ディーン・P・オカンポ(Dean P. Ocampo)氏は、現在のセキュリティ状況についてこのように警告する。 SQLインジェクションは、Webページを介して悪意あるコードを挿入し、データベースからの情報漏えいや改ざんにつなげるという攻撃だ。数年前から見られる手法であり、決して目新しいものではない。「だが、自動化されたツールが登場し、さらにパワーアップしている」とオカンポ氏は述べた。 「データベースの構造やプロファイルの収集も含めて自動化されている。また、Googleなどの検索エンジンを利用して脆弱性を見つけ出すなど、さまざまな要素を自動化し、ひとまとめに提供するツールが登場している」(同氏)。 しかも、攻撃していることに気付
