2008/03/27 セキュリティ企業のラックは3月27日、3月中旬に発生したSQLインジェクション攻撃の詳細について説明した。一連の攻撃は、同社が注意喚起を行った3月13日前後だけでなく、2007年の11月や12月、そして3月21日以降も発生しており、けっして一過性のものではないという。 この攻撃は、Webアプリケーションの脆弱性を突いてSQLインジェクション攻撃を仕掛け、Webサイトに不正なスクリプトを埋め込もうとする。しかし最終的な目的はWebサーバではなく、そこにアクセスしてくるユーザーの端末だ。もし、脆弱性が残っているPCで、書き換えられてスクリプトが仕込まれたWebページにアクセスすると、ユーザーがそれと意識しないうちにマルウェアがダウンロードされてしまう。 SQLインジェクション攻撃という手法は目新しいものではない。しかし、攻撃用ツールの進化と流通を背景に、攻撃件数は徐々に増