言葉は知られていても危険性までは認識されていない「SQLインジェクション」(1/2 ページ)

IPA/ISECは、不正アクセスを受けWebサーバが改ざんされた5月の事例を踏まえ、Webアプリケーションについてもセキュリティ対策が必要であると呼びかけた。

» 2005年06月07日 08時41分 公開
[高橋睦美,ITmedia]

 情報処理推進機構セキュリティセンター(IPA/ISEC)は6月6日、2005年5月のウイルスおよぶ不正アクセスの届出状況をまとめ、公開した(別記事参照)

 この中でIPA/ISECは、不正侵入報告10件のうち、Webサーバに侵入されてコンテンツを改ざんされた事件が7件あり、うち1件では、ユーザーがWebページを閲覧しただけでウイルスに感染する仕組みを埋め込まれていたことをに言及。この事例では、原因は不明だが「セキュリティパッチ適用や外部からのサーバアタック診断を適切に実施していたにもかかわらず、サーバへの侵入を許す結果」となった。

 IPA/ISECによると、この事例のWebサイトでは、ただ情報を公開するだけの静的なコンテンツだけでなく、ユーザーからの書き込みを受け入れる仕組みを利用していた。このことを踏まえIPA/ISECは、OSやサーバの脆弱性対策だけでなく、ユーザーからの入力を受け付けるWebアプリケーションについてもセキュリティ対策が必要だとしている。

 ほぼ同じ時期に不正アクセスを受け、「OZmall」のWebページにウイルスを感染させる仕組みを埋め込まれてしまったスターツ出版では、同社サーバに対する不正アクセスの手法は「SQLインジェクションだった」ことを認めている。

 同社では「ファイアウォールや不正アクセス監視ソフトなどの導入といった対策は施していた」という。一方、Webアプリケーションの脆弱性やSQLインジェクションについては、「言葉は聞いたことはあった」ものの、どの程度攻撃のリスクがあり、悪用されればどのような被害が及ぶかまでは認識していなかった模様だ。

 スターツ出版では、この脆弱性への対策を施した上で、5月30日よりWebサイトの運営を再開した。はじめからWebアプリケーションの脆弱性について対策しておくべきだったのが第一だとは認めながらも、「(セキュリティ企業による調査結果を見ると)どこのWebサイトがやられてもおかしくないことがわかってきた。となると、『振り込め詐欺』への対策ではないが、どういった手口があり、どういった対策が必要かをある程度具体的に明示する形で警告があってもよかったのではないか」と、同社広報担当は述べている。

認識されていない? SQLインジェクションの危険性

 最近相次いで発表された調査結果によれば、クロスサイトスクリプティングや各種インジェクション、セッション管理の脆弱性など種類はいろいろあるが、ほぼすべてのWebサイトに何らかの形でWebアプリケーションの脆弱性が存在するという。たとえばラックの調査では「ほとんどすべてのWebサイト」が、また三井物産セキュアディレクション(MBSD)の調査によれば94%ものサイトが、Webアプリケーションのセキュリティに関して何らかの問題を抱えているという。

 また、住商エレクトロニクスのセキュリティコンサルタントである笠原謙氏は、6月3日に行われた情報セキュリティセミナーの中で、「調査対象の60%以上にSQLインジェクションの脆弱性があるという数字があるが、私自身の感触ではもっと多いかもしれない」と述べた。というのも、こういった脆弱性調査を受ける企業(=調査の母数)は、比較的セキュリティに対する意識が高いところのはずだからだ。

 しかも、「SQLインジェクションという名称は知っていても、どこまで(侵害が)できてしまうのかは知らない人が多いかもしれない」(笠原氏)。

       1|2 次のページへ

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ