Microsoft、SQLインジェクション深刻化に警告

SQLインジェクション攻撃は、MicrosoftのASPおよびASP.NET技術を使い、コーディングがセキュアでないWebサイトを狙っている。

[ITmedia]

　米Microsoftは6月24日、同社の技術を使っているサイトを標的にしたSQLインジェクション攻撃が深刻化しているとして警告を発した。

　同社によると標的にされているのはMicrosoft ASPおよびASP.NET技術を採用しているWebサイト。攻撃は特定のソフトの脆弱性を悪用するのではなく、リレーショナルデータベース内のデータにアクセスし、操作するためのコードがセキュアでないWebサイトを狙っているという。攻撃が成功すると、攻撃者はデータベース内のデータを取得でき、リモートでコードを実行できる恐れもある。また攻撃されたサーバにアクセスしたユーザーが、知らないうちに不正なサイトに転送される可能性もある。

　Microsoftは、セキュアなコーディング手法にのっとって開発されたWebアプリケーションではこの脆弱性を悪用できないとしている。同社は、顧客がこの問題に対処できるよう3つセキュリティツールをリリースした。

　1つは、Internet Information Services（IIS）が処理するHTTPリクエストの種類を制限する「UrlScan 3.0β」。特定のHTTPリクエストを遮断することで、危険なリクエストを防ぐという。2つ目はSQLインジェクション攻撃を受けやすいASPコードを検出する「Microsoft Source Code Analyzer for SQL Injection Community Technology Preview」。3つ目はHewlett-Packard（HP）と共同開発したスキャンツール「Scrawlr」で、WebサイトがSQLインジェクション攻撃を受けやすいかどうかを確認できる。