ITmedia NEWS > セキュリティ >
ニュース
» 2008年06月25日 09時41分 UPDATE

Microsoft、SQLインジェクション深刻化に警告

SQLインジェクション攻撃は、MicrosoftのASPおよびASP.NET技術を使い、コーディングがセキュアでないWebサイトを狙っている。

[ITmedia]

 米Microsoftは6月24日、同社の技術を使っているサイトを標的にしたSQLインジェクション攻撃が深刻化しているとして警告を発した。

 同社によると標的にされているのはMicrosoft ASPおよびASP.NET技術を採用しているWebサイト。攻撃は特定のソフトの脆弱性を悪用するのではなく、リレーショナルデータベース内のデータにアクセスし、操作するためのコードがセキュアでないWebサイトを狙っているという。攻撃が成功すると、攻撃者はデータベース内のデータを取得でき、リモートでコードを実行できる恐れもある。また攻撃されたサーバにアクセスしたユーザーが、知らないうちに不正なサイトに転送される可能性もある。

 Microsoftは、セキュアなコーディング手法にのっとって開発されたWebアプリケーションではこの脆弱性を悪用できないとしている。同社は、顧客がこの問題に対処できるよう3つセキュリティツールをリリースした。

 1つは、Internet Information Services(IIS)が処理するHTTPリクエストの種類を制限する「UrlScan 3.0β」。特定のHTTPリクエストを遮断することで、危険なリクエストを防ぐという。2つ目はSQLインジェクション攻撃を受けやすいASPコードを検出する「Microsoft Source Code Analyzer for SQL Injection Community Technology Preview」。3つ目はHewlett-Packard(HP)と共同開発したスキャンツール「Scrawlr」で、WebサイトがSQLインジェクション攻撃を受けやすいかどうかを確認できる。

Copyright© 2017 ITmedia, Inc. All Rights Reserved.