ニュース
「SQLインジェクション攻撃とIISは無関係」とMicrosoft
Webサーバ攻撃の多発はIISやSQL Serverの脆弱性が悪用されたものではないとMicrosoftは強調している。
正規サイトに不正コードを仕掛けて悪質サイトに誘導するSQLインジェクション攻撃が再び猛威を振るっている問題で、Microsoftは25日、同社のWebサーバソフトウェア「Internet Information Services (IIS)」 とこの攻撃を関連付ける説を否定した。
一部報道では、不正コードを仕掛けられたのはIIS 6.0を使っているWebサイトで、Microsoftが17日に情報を公開したWindowsの未パッチの脆弱性(アドバイザリー951306)が悪用された可能性もあると伝えられていた。
しかしMicrosoftはセキュリティ対策センター(MSRC)のブログで、今回のWebサーバ攻撃では「未知の脆弱性や新しい脆弱性は悪用されていないことが当社の調査で分かった」と説明。攻撃はIISやSQL Serverの脆弱性を突いたものではなく、アドバイザリー951306の脆弱性とも無関係だとした。
IISのブログでも、攻撃の標的になっているのはIIS Webサーバでホスティングされているサイトだが、SQLインジェクションの脆弱性はどんなプラットフォームでホスティングされていても存在し得ると述べている。
その上で、Microsoftがサイトで公開しているWebアプリケーション開発のベストプラクティスに従い、SQLインジェクション回避の措置を取るよう助言。ユーザーに対しては、最新のアップデート適用を促している。
関連キーワード
IIS(Internet Information Service) | 脆弱性 | Microsoft(マイクロソフト) | SQL | インジェクション | Webサーバ | ホスティング | ベストプラクティス | パッチ | Webアプリケーション | Windows
関連記事
- Webサイトの改ざん攻撃が拡大、世界で数十万ページが被害
SQLインジェクション攻撃で不正コードを仕掛けられたページは数十万に上るという。 - サイト改ざんが再び猛威、国連や英政府サイトにも不正コード
Websenseによると、英国政府機関のサイトや国連のサイトにも不正なJavaScriptが仕掛けられている。 - Windowsに権限昇格の脆弱性
Microsoftは現時点ではこの脆弱性を悪用した攻撃は把握していない。 - セキュリティ専門家、「Windows Server 2008」のセキュリティ設計に脆弱性を発見
Argenissの創立者であるシーザー・セルード氏が、「Windows Server 2008」に深刻な設計上の脆弱性があることを突き止めた。高いスキルを持つハッカーであれば、これを悪用して同オペレーティングシステムの完全な制御権を奪えるという。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.