IPA、SQLインジェクション攻撃についてあらためて注意呼びかけ

　独立行政法人 情報処理推進機構（略称：IPA、理事長：西垣浩司）は15日に、「SQLインジェクション攻撃に関する注意喚起」と題する文書を公表し、あらためて注意を呼びかけた。

　SQLインジェクション攻撃とは、組み立て方に問題のあるSQL（Structured Query Language）文を悪用することで、細工されたSQL文をデータベースへの問い合わせの一部として埋め込んで（Injection）しまう攻撃。データベースに蓄積された情報の漏えい・改ざん、不正操作などの脅威がある。

　同文書では、近年のSQLインジェクション攻撃の急増に対し、ウェブサイト管理者等への注意を喚起するとともに、ウェブサーバのアクセスログ調査およびウェブサイトの脆弱性検査等の対策実施を推奨している。
なお、IPAでは、SQLインジェクション攻撃への対策を、「安全なウェブサイトの作り方」で公開している。また、SQLインジェクション脆弱性の検出を簡易に行うツール「iLogScanner」を4月18日に公開している。

　SQLインジェクション攻撃については、有限責任中間法人 JPCERT コーディネーションセンター（JPCERT/CC）や内外の情報セキュリティ対策企業がウェブサイトの改ざんや不正コードを仕掛けられたページ数が数十万に達している旨の注意喚起を、2008年3月頃より相次いで発表している。また、5月6日には、SQLインジェクション攻撃を行う悪質プログラムが確認された旨の注意喚起を米国SANS Instituteが実施している。なおIPAに届けられたウェブサイト（ウェブアプリケーション）の脆弱性の約3割は、SQLインジェクションの脆弱性だという。

　たとえば、IPAで公開しているオープンソース情報データベース「OSS iPedia」の2008年1月〜4月のアクセスログを「iLogScanner」で解析したところ、合計44件のSQLインジェクション攻撃を検出した。攻撃に成功した件数は0件だったたが、4月は29件のSQLインジェクション攻撃があり、1〜3月に比べて増加しているとのこと。

■関連ニュース
アリババ、シャオネイ、チャイナモバイル、アジアを制しモバイルインターネットを制す
『.go.jp』からのメールであっても要注意！〜IPA、4月の不正アクセスの届出状況について発表
IPA、2007年度第1期、第2期天才プログラマー／スーパークリエータ18名を発表
IPA、“SQLインジェクション脆弱性”の検出ツール「iLogScanner」を公開
約3割の組織でWindows 98、Meがまだ存続？――IPA情報セキュリティ調査

SQLインジェクション攻撃

特定のウェブブラウザの動作に依存した脆弱性の届出件数

SQLインジェクション脆弱性ツール「iLogScanner」の解析例