SQLインジェクション攻撃のターゲットは無差別に――ラックが緊急レポート

ラックの「JSOC SQLインジェクション緊急レポート」によると、著名なWebサイトだけでなく、広範なWebサイトが無差別にSQLインジェクションに狙われるようになっているという。

[高橋睦美，ITmedia]

　ラックが3月3日に公開した「JSOC SQLインジェクション緊急レポート」によると、SQLインジェクションの手口や対象は変化しており、著名なWebサイトだけでなく、広範なWebサイトが無差別に狙われるようになっているという。

　このレポートは、同社のJSOC（Japan Security Operation Center）が観測したSQLインジェクション攻撃事例を元にまとめられたものだ。

　2005年5月以降、複数のWebサイトが攻撃を受け、Webページの改ざんや個人情報の漏えいにつながった事件で注目を集めたSQLインジェクションだが、手口自体は古くから知られていた。

　しかしJSOCのレポートによると、2005年初めはほとんど攻撃は観測されていない。攻撃件数が徐々に増えたのは4月以降で、10月からは大幅に増加。2005年12月には60件を超える攻撃活動が観測された。また攻撃元のホストを国別に見ると、中国が81％で大半を占めているという。

　ラックはこうした現象の背景に、「中国語のWebサイトでSQLインジェクションを実行するツールが数多く配布されていること」があると指摘。JSOCでの攻撃検知事例の分析結果からも、多くの攻撃がこうしたツールを用いて行われていることが分かったという。こうしたツールを「技術力の低い攻撃者でも容易に悪用できる」ことが、攻撃件数の増加につながっているとの推測だ。

　攻撃対象のプラットフォームを見ると、Microsoft IISサーバで利用されるASP（Active Server Pages）が52％と過半数を占め、狙われやすい傾向にあることが分かった。その理由として、前述の攻撃ツールの多くがASPを対象としているほか、拡張子によって攻撃対象が容易に限定できること、またWebアプリケーション開発の敷居が低く、経験が浅い開発者でも容易に開発可能なことなどが挙げられている。

　また、一口にSQLインジェクションといってもさまざまな手口があるが、最近最も多いのは「エラー情報からの情報漏えい」を狙う手法で、そのためのツールが複数確認されているという。

　ただ、この手口が成功した場合は、Webサーバに特徴的なログが記録されるケースがあるため、ログの確認によって判別することも可能だ。具体的には、GETメソッドを用いて攻撃が仕掛けられた場合に、ログに攻撃の痕跡が残る。これを検出するために、ログそのものの確認作業に加え、ログ取得の設定が適切かどうかも確認すべきという。ただし、たとえログをチェックしても、POSTメソッドが悪用される手口や新たな手口までは把握できない点に注意が必要だ。

　レポートはさらに、「検索エンジンを悪用して、攻撃対象となるWebサイトを自動的に列挙するツール」や「メールアドレスのような、個人にコンタクトできる情報のみを狙う攻撃者」の存在も指摘。Webアプリケーションをインターネットに公開している「すべての組織に最低限の対策が求められる」とし、アクセスログの確認や脆弱性診断といった、可能な対策からすぐに取り組むべきとしている。