SQLインジェクションによるウェブサイト攻撃が急増、IPAが対策を呼びかけ

　独立行政法人情報処理推進機構（IPA）は8月17日、ウェブサイトの改ざんやウェブサイトからの機密情報の漏えいなど深刻な被害が頻発していることから、2008年5月に続き再度、注意喚起を発表した。

　IPAが公開している「脆弱性対策情報データベースJVN iPedia」について、2009年4月から7月までのアクセスログを「SQLインジェクション検出ツールiLogScanner」で解析したところ、2008年激増したSQLインジェクション攻撃が6月頃から再び急増していることがわかったという。攻撃と思われる痕跡は、4月の21件に対して7月は534件と、約25倍に増えている。また、ディレクトリトラバーサルの脆弱性を狙った攻撃も継続している。

　この現状からIPAは、ウェブサイト運営者に対し、ウェブサイトがどれほどの攻撃を受けているのか、また攻撃によって被害が発生していないか、常に状況を把握し対策を講ずることが必要と警告している。ウェブサイトの脆弱性を検査し、脆弱性がある場合は早急に脆弱性対策をするよう呼びかけている。

　現状の把握のために、IPAではウェブサーバのアクセスログ調査ができる無料ツール「iLogScanner」を配布している。このツールによって、ウェブサイトが日頃どれだけの攻撃を受けているか、また、攻撃が成功した可能性があるかを解析できるという。ただし、簡易ツールであるため攻撃が検出されなくても脆弱性が存在する可能性はある。