SQLインジェクション攻撃の波これまでの脅威レポート「X-Force Trend and Risk Report」を読み返し、以下のSQLインジェクションに関するグラフを眺めると、興味深いことに気付くだろう。米IBMのSOC(Security Operations Center)では、3年前から毎年1回、全世界規模のSQLインジェクション攻撃について取り上げてきた。 どの攻撃も手口は基本的に同じで、SQLインジェクション攻撃が可能なASP(Active Server Pages)Webページを狙っている。 2008年の攻撃は、以下のようにSQLのcastステートメントと16進データを用いてインジェクション用文字列を難読化していた。この攻撃はボット機能を持つ「Asprox」ワームによるもので、数千ものWebサイトを改ざんするという大成功を収めた(関連記事:フィッシング詐欺が半減、原因は犯罪組織「Rock Phish」のイ
