「SQLインジェクション」最新記事一覧

Google、脆弱性情報に支払う賞金を大幅アップ　攻撃側に対抗か
コード実行を許す恐れのある脆弱性情報の提供者に払う賞金は2万ドルとなり、これまでの3133ドルから大幅にアップした。（2012/4/24）

2011年に増加傾向を示したセキュリティの脅威
スパムなどが減る一方、モバイルやSNSを狙う攻撃や脆弱性悪用攻撃の高度化がみられる。（2012/4/3）

ホワイトペーパー：
Googleブラックリストに載らないためのセキュリティ対策
情報詐取の攻撃手法は、従来のセキュリティソリューションの網の目をかいくぐるように巧妙化されている。複雑に変化するマルウェアの脅威に対してどのようなことを対応しておく必要があるのか。（2012/3/22）

活発な動きをみせるモバイル狙いのマルウェア、McAfeeセキュリティ報告書
PCを狙うマルウェアが減少する一方、モバイル端末を狙うマルウェアは増加している。情報流出ではWindowsのRPCの脆弱性を突いたネットワーク攻撃が多数発生した。（2012/2/22）

制御システムのセキュリティは“10年遅れ”　急がれる対策の今
原子力施設の制御システムの不正操作を狙ったとされる「Stuxnet攻撃」を契機に、社会インフラを支える制御システムのセキュリティ問題が注目されつつある。国内外の現状とはいかに――。（2012/2/6）

10個のツールで学ぶ、備える！情報セキュリティの脅威と対策：
攻撃者の立場で脆弱性を学ぶAppGoatによる演習の勧め
IPA提供のツールを活用して企業が留意すべきセキュリティについて学ぶ連載の10回目は、脆弱性体験学習ツール「AppGoat」を紹介します。開発に携わる初心者から上級者までを対象に、脆弱性の発見と対策を体系的に学習できるツールです。（2012/1/30）

政府のセキュリティ対策状況は？　内閣官房が中間報告
標的型不審メール攻撃に対する訓練や公開Webサーバの脆弱性検査に関する中間報告を行った。（2012/1/19）

Duqu、標的型攻撃、Android向けマルウェア……：
2011年のセキュリティ脅威をシマンテックが総括
シマンテックが標的型攻撃やスマートフォン向けマルウェアの現状を解説。2011年にみられたセキュリティ脅威の総括と今後の予測を語った。（2011/12/22）

10個のツールで学ぶ、備える！情報セキュリティの脅威と対策：
HTTPサーバのログをチェック　攻撃の痕跡を探せ！
IPA提供のツールを活用して企業が留意すべきセキュリティについて学ぶ連載の6回目。Webブラウザの簡単操作で外部からの攻撃の痕跡をチェックできるツールiLogScannerと、最新のサイバーセキュリティ情報をリアルタイム表示するicatを紹介します。（2011/12/19）

10個のツールで学ぶ、備える！情報セキュリティの脅威と対策：
RPGで体験して学ぶ　安全なWebサイトの運営と管理
IPA提供のツールを活用して企業が留意すべきセキュリティについて学ぶ連載の5回目。Webサイトを狙った7つの攻撃パターンをロールプレイングで体験できるツールの紹介です。Webシステムへの攻撃による影響と事前対策の必要性を学びます。（2011/12/12）

Webアプリの7割にXSSの脆弱性、情報流出につながる恐れも
Webアプリケーションのセキュリティ診断では全体の68％にクロスサイトスクリプティング（XSS）の脆弱性が、32％にSQLインジェクションの脆弱性が見つかった。（2011/12/8）

日本は狙われている？：
シマンテックが警告する「標的型攻撃」の現在
特定の政府機関や企業を狙ったサイバー攻撃が新たな脅威として注目されている。どのような組織や個人が狙われるのか。メールを使った標的型攻撃について、Symantec.Cloudのシニアアナリストであるマーティン・リー氏が解説した。（2011/11/30）

Maker's Voice：
「WAFは中堅・中小企業にこそ使ってほしい」と、BarracudaのCEO
米国での調査によると、サイバー攻撃を受けた企業の66％が100人以下の企業だった。Webシステムへの侵入を狙う攻撃が多く、米セキュリティ企業のBarracuda NetworksではWebアプリケーションファイアウォールの利用を勧めている。（2011/11/2）

ホワイトペーパー：
Googleブラックリストに載らないためのセキュリティ対策
情報詐取の攻撃手法は、従来のセキュリティソリューションの網の目をかいくぐるように巧妙化されている。複雑に変化するマルウェアの脅威に対してどのようなことを対応しておく必要があるのか（提供:日本ベリサイン）。（2011/10/13）

NEWS
日本ベリサイン、サーバ証明書の顧客に脆弱性調査を無償提供
日本ベリサインは、SSLサーバ証明書のユーザー企業に対して、Webサイトの脆弱性を診断するサービスを無償提供する。併せて、Webサイトの安全性を示すアイコンのデザインと名称を変更すると発表した。（2011/10/7）

携帯狙いの不正コードや標的型攻撃が増加、IBMの上半期セキュリティ報告書
個人所有の端末を企業ネットワーク内で利用する「Bring Your Own Device」という方針が、企業セキュリティでの懸念を高めていると指摘する。（2011/10/3）

FBI、Sony Pictures攻撃でLulzSecのメンバーを逮捕
ハッカー集団LulzSecのメンバーとみられる男が、Sony Pictures Entertainment（SPE）のシステムに対するサイバー攻撃に関与した罪で逮捕・起訴された。（2011/9/26）

DNS乗っ取りで不正サイトに誘導、Microsoftなどにも影響か
ドメイン登録業者のシステムがサイバー攻撃を受けてDNS情報を改ざんされ、多数のWebサイトが不正サイトにリダイレクトされる事件が起きた。（2011/9/6）

Nokia開発者サイトからユーザー情報流出、SQLインジェクション攻撃受ける
Nokia開発者サイトが掲示板ソフトウェアの脆弱性を突いた攻撃を仕掛けられ、ユーザーのメールアドレスを記録したデータベース情報にアクセスされたという。（2011/8/30）

Webアプリケーションは2分に1回攻撃を受けている――Imperva調査
データセキュリティ企業のImpervaによると、攻撃者はボットネットと自動化した攻撃ツールを利用して企業のWebアプリを攻撃しており、ピーク時のアタックは1秒当たり7回に上るという。（2011/7/26）

情報セキュリティが急務：
PR：Webへの不正アクセスが続発　企業がとるべき対策は？
インターネットに接続している限り、公開しているWebサイトが狙われる危険性を排除できない。危険性を排除するために取り組むべきなのが、攻撃に対する確実な防御である。それを実現するには、自社の脆弱性を可視化・把握し、強固なセキュリティ対策を確立することだ。（2011/6/22）

Sony Picturesが個人情報の流出認める、ポルトガルでも攻撃発生
Sony Pictures Entertainmentは約3万7500人の個人情報が流出した可能性があると発表した。ポルトガルのソニーにも攻撃が仕掛けられたと伝えられている。（2011/6/10）

ソニー・ミュージックの日本語サイトにSQLインジェクション攻撃？
ソニー・ミュージックエンタテインメント（SME）の日本語サイトがSQLインジェクション攻撃を受け、不正アクセスされた可能性があるとSophosのブログが伝えた。（2011/5/24）

大規模なSQLインジェクション攻撃発生、iTunesのURLにも有害コード
Websenseによると、22万6000以上のURLに有害なコードが挿入されているのが見つかった。この中にはiTunesのURLも複数あったという。（2011/3/31）

MySQLのサイトにSQLインジェクション攻撃
攻撃者はSQLインジェクション攻撃を使ってMySQL.comからユーザー名とパスワードハッシュを取得した。（2011/3/29）

情報セキュリティを支える日立オープンミドルウェア：
ISO/IEC15408認証取得製品を活用してよりセキュアな情報システムを
ITシステムとネットワークを数々の脅威から守り、安心・安全な社会を実現する「情報セキュリティ」の確保が重要な課題となっている。日立オープンミドルウェアはこの課題に対してどのような答えを出しているのか、日立製作所ソフトウェア事業部の技術者が語る。（2010/3/31）

事件調査官が解説：
重要データを狙うサイバー犯罪、企業が注視すべき現実とは
企業が抱える個人情報や機密情報を狙うサイバー攻撃が深刻な問題となっている。数多くの事件調査を手掛ける米Verizon Businessの担当者は、攻撃の手口の高度化と日本を含めた事件の増加を指摘している。（2010/3/3）

新たな脆弱性が減るも、Web攻撃は増加――IBMの年間リポート
IBMが2009年のセキュリティ調査リポートを発表し、新規の脆弱性が減少する一方で、Web関連の脆弱性を悪用する攻撃が増えている実態が明らかになった。（2010/2/26）

ボットやSQLインジェクション攻撃の発信元は中国がトップに、マカフィー調べ
マカフィーは2009年10〜12月期のサイバー脅威動向を発表し、ボットやSQLインジェクション攻撃の発信元は中国がトップになったと伝えた。（2010/2/15）

情報詐取の常とう手段
クロスサイトスクリプティング攻撃とは　前編――その目的と仕組み
XSS攻撃が成立する仕組みと理由、そして自社のWebアプリケーションからこの脆弱性をなくす方法について解説する。（2010/1/12）

アカマイ、アプリケーション配信サービスにWAF機能を本格導入へ
アカマイは、企業向けWebアプリケーション配信サービスにおいてWebアプリケーションファイアウォール機能を正式に提供する。ユーザーがWebを狙う外部攻撃への対策を強化できるという。（2009/12/18）

Symantecサイトに攻撃、日本のサーバが被害に？
ルーマニアのハッカーがアクセスしたと公言しているSymantecのサーバは、日本での技術サポート用サーバのようだという。（2009/11/26）

Web関連データベースの25％に被害の疑い、ラック調べ
ラックの調査で、Webシステムに関連したデータベースの25％にサイバー攻撃による実被害の可能性が見つかった。（2009/10/1）

SugarCRMにSQLインジェクションの脆弱性
IPAはCRMソフトの「SugarCRM」にSQLインジェクションの脆弱性が存在すると発表。修正版がリリースされている。（2009/8/24）

サイト狙いの攻撃が増加：
Webサーバを緊急点検すべし、IPAが警戒を呼び掛け
IPAは、4〜7月にかけてWebサーバを標的にした攻撃が増加したとして、アクセスログの解析や脆弱性検査などの実施を呼び掛けている。（2009/8/17）

NEWS
クレカ業者と一般企業のWebサイトにセキュリティレベルの差なし？　NRIセキュア調査
2008年度に顧客に対して提供したWebサイトのセキュリティ診断サービスの結果をリポートとして公開。それによると、致命的な欠陥のあるサイトは減少したが情報漏えいの可能性があるサイトは増加しているという。（2009/7/31）

RSA Conference 2009 JAPAN：
不正アクセスによるサービス停止――事例から学ぶセキュリティ対策
ゴルフダイジェスト・オンラインは、2008年秋に不正アクセス攻撃を受け、8日間のサービス停止を図った。同社COOがこの事件から学んだセキュリティ対策のポイントを紹介している。（2009/6/12）

カスタムマルウェアが狙う企業情報：
調査官に聞く、不正アクセス攻撃の今とは？（前編）
不正アクセス事件は年々巧妙化し、RAMスクレーパーという新手のマルウェアによる攻撃も登場した。近年の傾向と対策を米Verizon Businessで事件調査を担当するブライアン・サーティン氏らが紹介してくれた。（2009/6/8）

ブロードバンドの普及が影響：
Webサイトの改ざん攻撃、発信元は地中海沿岸
数週間前にはニュージーランドの大手サイトを含む複数のWebサイトがトルコからとみられる攻撃を受け、サイトが改ざんされた。（2009/5/19）

ネットサービスや顧客情報を守る防火壁：
PR：Webの弱点を狙う攻撃へ対処するWAFという選択肢
Webサーバやアプリケーションの脆弱性を狙う不正アクセスが激増し、サイト改ざんや重要情報の盗難などの被害が多数発生している。脆弱性を修正するには多大な時間やコストを伴うが、こうした課題に効率的に対処する手段として注目されているのが「Webアプリケーションファイアウォール（WAF）」である。（2009/5/18）

新手のSQLインジェクション攻撃にも対応可能：
PR：独自機能とステップアップでWebセキュリティを強化する術とは
「Web Application Firewall（WAF）」は、単純にSQLインジェクション・クロスサイトスクリプティングを防げればいいというものではない。絶えず進化し続けているWebアプリケーションに対する攻撃を防御し、さらに次世代ネットワークにも対応したWAFアプライアンスがある。（2009/5/18）

詳報：
脆弱性の詮索とマルウェアで企業情報を狙う攻撃者
企業の重要情報を狙う攻撃者は、システムの脆弱性を徹底して狙う。仮に成功率が低いとしても、大金を獲得できる可能性があれば容赦なく攻撃しているという。（2009/4/24）

相次ぐWebアプリ攻撃：
ニュージーランドで大規模なDNS障害、ソニーやMSに影響
TwitterでXSSワームが出回ったのに続き、ニュージーランドではSQLインジェクション攻撃が発生し、大手サイトのDNS記録が書き換えられたもようだ。（2009/4/22）

IPAらが報告：
Webサイトの脆弱性、主要3種で9割超に
IPAらが発表した1〜3月の脆弱性届出動向で、Webサイトに関連するもののうち、XSSとDNSキャッシュポイズニング、SQLインジェクションが全体の95％を占めた。（2009/4/21）

標的型攻撃から変化か：
Webアプリの普及で攻撃増大、狙いは個人情報
Webアプリケーションの脆弱性を突いた攻撃が増大していると、Symantecが報告書で指摘した。（2009/4/15）

日中韓で被害多発：
SQLインジェクション攻撃が61倍増に、ラックが年間リポート
ラックは、2008年通期のインターネットの脅威傾向リポートを公開。Webサイト改ざんなどを狙うSQLインジェクション攻撃が前年比61倍増となった。（2009/3/18）

情報漏えいや乗っ取り攻撃：
ターゲットアタックへの備えは“巣籠り”対策のみ
特定の企業や組織を狙う標的型攻撃が増加している昨今、過去から引きずったままの脆弱性によって被害が誘発されることが多いという。（2009/2/25）

セキュリティ企業を狙う：
F-Secureのサイトが改ざん被害、SQLインジェクション攻撃の標的に
ルーマニアの組織がセキュリティ企業のWebサイトを連続攻撃している。Kasperskyに続いてF-Secureが被害に遭った。（2009/2/13）

Next Wave：
標的型攻撃に備えよ！ ただし抜本対策は見つからず（前編）
2008年から標的型攻撃が急増し、一般企業においても深刻な脅威となりつつある中で、その手法や目的などが十分に分析されておらず、今はまだ有効な対策が講じられていない状況だ。今回は情報セキュリティの専門家による脅威の分析と施策の一端を紹介する。（2009/1/21）

NEWS
ラックが6万円台のWeb脆弱性診断サービス　SQLインジェクション対策に特化
セキュリティ診断の内容を、現在最も流行しているSQLインジェクションとXSSの2つの攻撃への対策に特化することで低価格設定を実現。1サイト10URLまで脆弱性チェックができる。（2009/1/21）