IPA、急増するSQLインジェクション攻撃に対し注意喚起

　独立行政法人 情報処理推進機構（IPA）は5月15日、SQLインジェクション攻撃が急増していることを受け、ウェブサイト管理者などへ注意喚起した。

　SQLインジェクション攻撃を受けた場合、データベースに蓄積された情報が漏えい、改ざん、不正操作などをされる恐れがある。このため、データベースを利用しているウェブサイトの運営者は、SQLインジェクション攻撃によりウェブサイトに被害が発生していないか、またウェブサーバのアクセスログを常に調査し、攻撃があった場合は、データベースに認知していないリンクが含まれていないかを確認する必要があるとしている。また、ウェブサイトの脆弱性検査をし、脆弱性対策を講ずることも求めている。

　IPAでは、SQLインジェクション攻撃への対策をまとめた資料「安全なウェブサイトの作り方」を公開している。また、SQLインジェクション脆弱性を検出するツール「iLogScanner」を4月18日に公開した。このツールは、ウェブサーバのアクセスログの中からSQLインジェクション攻撃によく用いられる文字列を検出し、ウェブサイトが日頃どれだけの攻撃を受けているか、また、ウェブサイトの脆弱性により攻撃が成功した可能性があるかを解析する。

　iLogScannerは、ブラウザ上で実行するJavaアプレット形式のツールであり、公開以来、2000件を超えるダウンロードがされているという。ただしiLogScannerは簡易ツールのため、実際の攻撃による脆弱性検査はしていない。このため攻撃が検出されない場合でも安心せずに、ウェブサイトの脆弱性検査をすることを推奨している。

　SQLインジェクション攻撃については、特に2008年3月頃から、有限責任中間法人JPCERTコーディネーションセンター（JPCERT/CC）や内外の情報セキュリティ対策企業が、ウェブサイトの改ざんや不正コードを仕掛けられたページ数が数十万に達している旨の注意喚起を相次いで発表している。

　5月6日には、SQLインジェクション攻撃を行う悪質プログラム（ワーム）が確認された旨の注意喚起を米SANS Instituteが実施しており、IPAに届けられたウェブサイト（ウェブアプリケーション）の脆弱性でも、その約3割がSQLインジェクションの脆弱性となっている。