「インジェクション」最新記事一覧

Webアプリの7割にXSSの脆弱性、情報流出につながる恐れも
Webアプリケーションのセキュリティ診断では全体の68％にクロスサイトスクリプティング（XSS）の脆弱性が、32％にSQLインジェクションの脆弱性が見つかった。（2011/12/8）

Nokia開発者サイトからユーザー情報流出、SQLインジェクション攻撃受ける
Nokia開発者サイトが掲示板ソフトウェアの脆弱性を突いた攻撃を仕掛けられ、ユーザーのメールアドレスを記録したデータベース情報にアクセスされたという。（2011/8/30）

ソニー・ミュージックの日本語サイトにSQLインジェクション攻撃？
ソニー・ミュージックエンタテインメント（SME）の日本語サイトがSQLインジェクション攻撃を受け、不正アクセスされた可能性があるとSophosのブログが伝えた。（2011/5/24）

大規模なSQLインジェクション攻撃発生、iTunesのURLにも有害コード
Websenseによると、22万6000以上のURLに有害なコードが挿入されているのが見つかった。この中にはiTunesのURLも複数あったという。（2011/3/31）

MySQLのサイトにSQLインジェクション攻撃
攻撃者はSQLインジェクション攻撃を使ってMySQL.comからユーザー名とパスワードハッシュを取得した。（2011/3/29）

ボットやSQLインジェクション攻撃の発信元は中国がトップに、マカフィー調べ
マカフィーは2009年10〜12月期のサイバー脅威動向を発表し、ボットやSQLインジェクション攻撃の発信元は中国がトップになったと伝えた。（2010/2/15）

SugarCRMにSQLインジェクションの脆弱性
IPAはCRMソフトの「SugarCRM」にSQLインジェクションの脆弱性が存在すると発表。修正版がリリースされている。（2009/8/24）

新手のSQLインジェクション攻撃にも対応可能：
PR：独自機能とステップアップでWebセキュリティを強化する術とは
「Web Application Firewall（WAF）」は、単純にSQLインジェクション・クロスサイトスクリプティングを防げればいいというものではない。絶えず進化し続けているWebアプリケーションに対する攻撃を防御し、さらに次世代ネットワークにも対応したWAFアプライアンスがある。（2009/5/18）

相次ぐWebアプリ攻撃：
ニュージーランドで大規模なDNS障害、ソニーやMSに影響
TwitterでXSSワームが出回ったのに続き、ニュージーランドではSQLインジェクション攻撃が発生し、大手サイトのDNS記録が書き換えられたもようだ。（2009/4/22）

IPAらが報告：
Webサイトの脆弱性、主要3種で9割超に
IPAらが発表した1〜3月の脆弱性届出動向で、Webサイトに関連するもののうち、XSSとDNSキャッシュポイズニング、SQLインジェクションが全体の95％を占めた。（2009/4/21）

日中韓で被害多発：
SQLインジェクション攻撃が61倍増に、ラックが年間リポート
ラックは、2008年通期のインターネットの脅威傾向リポートを公開。Webサイト改ざんなどを狙うSQLインジェクション攻撃が前年比61倍増となった。（2009/3/18）

セキュリティ企業を狙う：
F-Secureのサイトが改ざん被害、SQLインジェクション攻撃の標的に
ルーマニアの組織がセキュリティ企業のWebサイトを連続攻撃している。Kasperskyに続いてF-Secureが被害に遭った。（2009/2/13）

NEWS
ラックが6万円台のWeb脆弱性診断サービス　SQLインジェクション対策に特化
セキュリティ診断の内容を、現在最も流行しているSQLインジェクションとXSSの2つの攻撃への対策に特化することで低価格設定を実現。1サイト10URLまで脆弱性チェックができる。（2009/1/21）

攻撃が急増中：
ラック、SQLインジェクションに特化したWeb診断サービス
ラックは、SQLインジェクションの脆弱性検出に特化したWebサイト診断サービスを始めた。（2009/1/20）

権限奪取や改ざんの恐れ：
オープンソースCMSの「MODx」に複数の脆弱性
MODxにクロスサイトスクリプティングやSQLインジェクションなど複数の脆弱性が見つかった。（2009/1/9）

ホワイトペーパー：
狙われるWebアプリ、対策の第一歩はWAFの導入から
SQLインジェクションやXSSなど、Webサイトを狙う攻撃の活発化が深刻になっている。ECサイトを運営する企業にとってWebアプリの脆弱性対策は急務だが、既存のファイアウォールで解決することは難しいのだ（提供：バラクーダネットワークスジャパン）。（2009/1/7）

SQLインジェクション攻撃も発生：
MSがIE 7の脆弱性を確認、アドバイザリーを公開
IE 7の脆弱性問題でMicrosoftがアドバイザリーを公開した。SANSによれば、サイトに不正コードを仕掛けるSQLインジェクション攻撃も発生している。（2008/12/12）

IPA、SQLインジェクション検出ツールを機能強化
IPAは、SQLインジェクションを検出する「iLogScanner」を機能強化した。（2008/11/11）

オープンソースのショッピングサイト構築システムに脆弱性
EC-CUBEにSQLインジェクションの脆弱性が見つかった。同システムを利用するサイトが攻撃対象になる可能性がある。（2008/11/6）

リーズナブルなWeb脆弱性対策「Barracuda Web Site Firewall」
「WebサイトはWAFで守る」が企業セキュリティの新常識
Webサイトの脆弱点を突く攻撃が活発化している。2008年3月に起きた大規模なSQLインジェクション攻撃では、多くのサイトが改ざんされた。サイトを守るには、アプリケーションへの攻撃を検知できるWAFが有効だ。（2008/9/17）

やるなら今！　DBセキュリティ対策
脆弱性診断ツールだけでは見つけられないDBセキュリティの脅威
Webサイトと連動するデータベースが今、狙われている。SQLインジェクション攻撃によるデータ詐取やサイト改ざんが再燃し始めた。大切なデータを不正攻撃から守る手段をツール、サービス、運用で見ていく。（2008/9/2）

中国からのサイバー攻撃がビジネス化――ラックが研究報告
ラックによると、中国を発信元としたWebサイトの改ざんを狙ったSQLインジェクション攻撃が急増し、ユーザーの個人情報などを盗み出す犯罪が本格化しているという。（2008/8/20）

カード番号2万8000件流出の恐れ　アイリスプラザのECサイト、SQLインジェクションで
ECサイト「アイリスプラザインターネットショッピング」に不正アクセスがあり、顧客のクレジットカード情報が流出した可能性がある。（2008/7/24）

XSSやSQLインジェクション攻撃の恐れ：
YouTube Blogに複数の脆弱性
悪用されるとクロスサイトスクリプティング攻撃やSQLインジェクション攻撃を仕掛けられたり、情報流出などの恐れがある。（2008/7/24）

ボットネットに加担：
大規模SQLインジェクション攻撃が再び発生
Asproxというボットネットが大規模なSQLインジェクション攻撃を仕掛け始めたという。（2008/7/22）

攻撃の検出と防御の方法
自動SQLインジェクション攻撃への新たな防御戦術
今日のSQLインジェクション攻撃について説明するとともに、正規のWebサイトに潜んでいる悪質なページを検出、隔離し、それに対処する方法を検証する。（2008/7/16）

Microsoft、SQLインジェクション深刻化に警告
SQLインジェクション攻撃は、MicrosoftのASPおよびASP.NET技術を使い、コーディングがセキュアでないWebサイトを狙っている。（2008/6/25）

サイトに攻撃、どう対処？　IPAが体験ゲーム公開
DoS攻撃やSQLインジェクション攻撃、電子メールの誤送信など、Webサイト運営者が直面する問題についてシミュレーション形式で学べるゲームを、IPAがダウンロード公開した。（2008/6/19）

管理者権限奪取の可能性：
ブログ作成ツール「BlognPlus」にSQLインジェクションの脆弱性
対象になるのは、v2.5.4以前のバージョンのMySQL版およびPostgreSQL版。（2008/6/17）

急増するSQLインジェクションの検知に：
ラック、無償提供のWebサーバのログ解析ツールを強化
ラックはSQLインジェクションの攻撃を検知できるように機能を強化したWebサーバのログ解析ツールを公開した。（2008/6/9）

誘導型攻撃が多発：
IPA、2007年の10大脅威と対策法を公開
誘導型攻撃、SQLインジェクション、ファイル交換ソフトウェアによる情報漏えい……。IPAは2007年に脅威となった攻撃を分析し、その対策を公開した。（2008/5/27）

Google検索で33万サイトも：
大規模SQLインジェクション攻撃、今度は中国語サイトが標的に
中国語サイトを狙った新たなSQLインジェクション攻撃が浮上した。32万7000サイトが改ざんされているという。（2008/5/20）

SQLインジェクションワームが猛威、4000サイトが感染
Webサイトに感染してスクリプトとiframeを仕掛けるワームが出回っている。（2008/5/7）

「SQLインジェクション攻撃とIISは無関係」とMicrosoft
Webサーバ攻撃の多発はIISやSQL Serverの脆弱性が悪用されたものではないとMicrosoftは強調している。（2008/4/28）

Webサイトの改ざん攻撃が拡大、世界で数十万ページが被害
SQLインジェクション攻撃で不正コードを仕掛けられたページは数十万に上るという。（2008/4/25）

SQLインジェクション攻撃を検出する簡易ツール、IPAが公開
WebサイトのSQLインジェクション脆弱性を検出する簡易ツール「iLogScanner」をIPAが公開した。（2008/4/21）

IPA、SQLインジェクションの簡易検出ツールを公開
Webサーバのアクセスログを解析して、SQLインジェクション攻撃に用いられる文字列を検出する。（2008/4/18）

NEWS
IPAがWebサイトのSQLインジェクションの脆弱性検出ツールを無償公開
WebサイトへのSQLインジェクション攻撃によく用いられる文字列を検出し、WebサイトのSQLインジェクションの脆弱性を検出する無償ツール「iLogScanner」を公開した。（2008/4/18）

クリエイティブメディアのサイト改ざん、SQLインジェクションが原因
クリエイティブメディアのサイトが改ざんされた原因はSQLインジェクションによるものだったことが分かった。（2008/4/9）

「carview.co.jp」サイトが改ざん　閲覧者にウイルス感染のおそれ
「carview.co.jp」がSQLインジェクションで改ざんされた上、アクセスしたユーザーにウイルスをダウンロードさせる状態になっていたことが分かった。（2008/4/8）

音響機器・楽器販売サイトからカード番号流出の可能性　SQLインジェクションで
音響機器や楽器などを販売するサウンドハウスのECサイトに不正アクセスがあり、顧客のクレジットカード番号が流出した可能性があるという。中国のIPアドレスからSQLインジェクション攻撃を受けた。（2008/4/7）

Webサイト改ざん攻撃の舞台裏、再び活発化の動きも
世界的に猛威を振ったSQLインジェクション攻撃が、再び活発化の動きを見せている。「2007年からこの予兆があった」とラックは分析する。（2008/3/27）

Weekly Access Top10：
Webページの改ざんが多発　対策はどう講じる？
SQLインジェクションを始めとするWebページの改ざんが多発している。Webページにアクセスするユーザーおよび管理者は、意識的な対策を講じる必要がある。（2008/3/15）

日米で急増のWebサイト改ざん攻撃、引き続き注意を
日米でSQLインジェクション攻撃が急増している問題で、JPCERT/CCはマルウェアの感染リスクは減少したが、引き続きの警戒を呼びかける。（2008/3/14）

日本のサイトを狙ったSQLインジェクション攻撃が急増
ラックは、3月11日夜から日本のWebサイトを狙ったSQLインジェクション攻撃が急増しているとして注意を呼びかけた。（2008/3/12）

Webサイトに多数被害、SQLインジェクション攻撃が猛威をふるう
SQLインジェクション攻撃で多数のWebサイトに不正コードが仕掛けられ、ユーザーを悪質サイトに誘導している。（2008/1/11）

Keywords
SQLインジェクション（SQL Injection）
（2007/10/15）

ソフトとハード、2つの対策アプローチ
古くて新しいフォールトインジェクション攻撃
フォールトインジェクション攻撃の概要と種類を説明し、被害に遭わないようにするための開発のベストプラクティスを紹介する。（2007/9/26）

CiscoのCallManagerにXSSとSQLインジェクションの脆弱性
悪用されると、不正なJavaScriptを実行されたりデータベースの情報が流出する恐れがある。（2007/8/30）

ホワイトペーパー：
急増するパスワード解析――ISSの最新インターネットセキュリティ調査分析レポート
2007年初頭、特に増えたインターネットセキュリティにおける脅威が、FTPやHTTPなどに対するパスワード解析攻撃と受動的攻撃である。一方、SQLインジェクションやオーバーフロー攻撃は減少した。2007年第1四半期のインターネット脅威調査分析レポートを紹介する。（2007/7/12）