株式会社ラックは3月27日、3月中旬に報道された国内におけるSQLインジェクションの大規模インシデントに関して記者向け説明会を開催。13日にラックが注意喚起を発表した前後数日の間に何が起きていたのかについて、JSOC チーフエバンジェリスト セキュリティアナリストの川口洋氏が概要を説明した。 SQLインジェクションとは、Webアプリケーションの脆弱性を突く攻撃だ。この脆弱性が存在するWebアプリケーションに対して、不正なSQL文を混入させたHTTPパケットを送信することで、Webアプリケーションの背後で動くデータベース(DB)に干渉し、場合によっては格納されたデータを不正に操作できてしまう。最悪のケースでは、データベース内の全データ喪失という事態さえ起こりかねない脅威的な攻撃だ。 今回のインシデント事例では、この攻撃によってWebページの中に不正プログラムを埋め込むという手口が利用された。