マイクロソフト、SQLインジェクション攻撃対策のツールを発表

　Microsoftは米国時間6月24日、「Microsoft ASP」「ASP.NET」テクノロジをウェブベースの攻撃から保護する支援ツールを発表した。

　4月には、Microsoft SQL Serverを利用した正当なウェブサイトに対し、悪質なJavaScriptを埋め込む攻撃が発生した。このJavaScriptは、悪質なソフトウェアをホスティングしたサーバへとユーザーのブラウザを誘導し、さまざまなエクスプロイトをユーザーPCに埋め込んだ。Microsoftは当初、これは脆弱性によって生じているわけではなく、サイト自身が安全なウェブアプリケーションを開発するための最善策を実施していないためと主張した。

　24日に発表されたツールは、ウェブ開発者がこうした攻撃を軽減するのを支援する。

　Microsoftのセキュリティレスポンスコミュニケーション担当マネージャーであるBill Sisk氏は、「これらの無料のツールは、検知や防衛のほか、攻撃者が悪用する可能性のあるコーディングを特定する」と述べる。

　今回提供される3つのツールは、「HP Scrawlr」「UrlScan version 3.0 Beta」「Microsoft Source Code Analyzer for SQL Injection」。Microsoftはさらに、セキュリティアドバイザリ「954462」で説明している最善策を実施するよう勧めている(管理者を支援するツールへもこちらからアクセスできる）。