自動SQLインジェクション攻撃への新たな防御戦術SANS InstituteのInternet Storm Centerのアナリストらは最近、SQLインジェクションに対して脆弱なWebサイトを見つけ出して攻撃するプロセスを自動化するツールを発見した。このプロセスの自動化は、正規のサイトの一部を利用してマルウェアをホスティングし、配信するテクニックがますます一般化しつつある状況を示すものだ。 本稿では、SQLインジェクション攻撃について説明した上で、正規のWebサイトに潜んでいる悪質なページを検出、隔離し、それに対処する方法を検証する。 従来のSQLインジェクション攻撃 SQLインジェクション攻撃自体は決して新しいものではない。例えば、有名な2003年のケースでは、アパレル企業GuessのWebサイトがSQLインジェクション攻撃を受けた結果、情報が流出して政府主導による法的和解に至った。当時の裁判資料は、SQLインジェクションについて「標
