「SQLインジェクション攻撃とIISは無関係」とMicrosoft

Webサーバ攻撃の多発はIISやSQL Serverの脆弱性が悪用されたものではないとMicrosoftは強調している。

[ITmedia]

　正規サイトに不正コードを仕掛けて悪質サイトに誘導するSQLインジェクション攻撃が再び猛威を振るっている問題で、Microsoftは25日、同社のWebサーバソフトウェア「Internet Information Services (IIS)」 とこの攻撃を関連付ける説を否定した。

　一部報道では、不正コードを仕掛けられたのはIIS 6.0を使っているWebサイトで、Microsoftが17日に情報を公開したWindowsの未パッチの脆弱性（アドバイザリー951306）が悪用された可能性もあると伝えられていた。

　しかしMicrosoftはセキュリティ対策センター（MSRC）のブログで、今回のWebサーバ攻撃では「未知の脆弱性や新しい脆弱性は悪用されていないことが当社の調査で分かった」と説明。攻撃はIISやSQL Serverの脆弱性を突いたものではなく、アドバイザリー951306の脆弱性とも無関係だとした。

　IISのブログでも、攻撃の標的になっているのはIIS Webサーバでホスティングされているサイトだが、SQLインジェクションの脆弱性はどんなプラットフォームでホスティングされていても存在し得ると述べている。

　その上で、Microsoftがサイトで公開しているWebアプリケーション開発のベストプラクティスに従い、SQLインジェクション回避の措置を取るよう助言。ユーザーに対しては、最新のアップデート適用を促している。