SQLインジェクション攻撃を検出する簡易ツール、IPAが公開

[ITmedia]

　国内サイトでSQLインジェクション攻撃による被害が相次いでいるのを受け、独立行政法人・情報処理推進機構（IPA）は4月18日、WebサイトのSQLインジェクション脆弱性を検出する簡易ツール「iLogScanner」を公開した。

　Webサーバのアクセスログの中から、サイト攻撃によく使われる文字列を検出し、サイトが日常的にどの程度の攻撃を受けているのか、脆弱性による攻撃が成功している可能性があるかを検出する。ラックが開発した。

　ログ解析による簡易ツールのため、実際の攻撃による脆弱性検査は行えない。IPAは「攻撃が検出されない場合でも安心せず、脆弱性検査を行うことを推奨する」としている。攻撃の成功が検出された場合は、サイト開発者やセキュリティベンダーへの相談を推奨している。