ワンクリック不正請求、SQLインジェクション攻撃に注意--IPAの5月レポート

　独立行政法人 情報処理推進機構 セキュリティセンター（IPA/ISEC）は6月3日、2008年5月のコンピュータウイルス、不正アクセスの届出状況をまとめ、公表した。また、SQLインジェクションによる不正アクセスが多発していることから、対策を呼びかけている。

　2008年5月のコンピュータウイルスの検出数は約20万個となり、4月の約21万個とやや増えた。また、5月の届出件数は1737件となり、4月の1703件から微増となっている。検出数の1位は「W32/Netsky」で約18万個、2位は「W32/Mywife」で約6000個、3位は「W32/Mytob」で約4700個であった。

　コンピュータ不正アクセスの5月の届出件数は4件。その内訳は侵入2件、DoS攻撃1件、その他1件であった。また、不正アクセスに関連した相談件数は37件であり、そのうち何らかの被害のあった件数は18件となっている。

　相談受付状況では、5月の相談総件数は1080件であった。このうちワンクリック不正請求に関する相談が320件となり、IPAが集計を始めてから3番目に多い結果となった。その他、セキュリティ対策ソフトの押し売り行為に関する相談が1件、Winnyに関連する相談が8件となっている。

SQLインジェクション攻撃でウイルス感染サイトへ誘導

　IPAでは、SQLインジェクションによる不正アクセスが多発していることから、対策の実施を呼びかけている。SQLインジェクション攻撃とは、ウェブアプリケーションに脆弱性がある場合に、悪意ある者から不正なSQL文を入れられてしまい、データベース内の情報が不正に操作されてしまうというもの。ウェブサイトのデータベース内の情報の改ざん、消去、漏えいなどの深刻な被害を招く危険性がある。

　この攻撃は継続して発生しており、どのサイトでもいつ被害に遭ってもおかしくない状況が続いているという。IPAが開発したSQLインジェクション脆弱性検出ツール「iLogScanner」を利用して解析した結果、IPAが管理しているウェブサイトへの攻撃も確認されたとのこと。

　最近の報告では、SQLインジェクション攻撃による情報改ざんの結果、ウイルスに感染させることを目的としたウェブページへ誘導する仕掛けが埋め込まれるケースが多数見受けられる。改ざんされたウェブサイトを閲覧した利用者は、気づかないうちにウイルスに感染してしまう可能性があり、二次被害が拡大する恐れがある。

　これらの現状から、ウェブアプリケーション開発者に対しては、設計段階から脆弱性を作り込まないよう、セキュリティに考慮することが重要としている。またウェブサイトの運営者に対しては、ウェブサーバのOSやインストールされているアプリケーションソフトなどを常に最新の状態にして脆弱性を解消しておくこと、新たなサービスを公開する前にセキュリティ監査でウェブサイト内に潜む脆弱性をあぶり出し、必要があれば修正しておくことを対策として挙げている。