2008年07月16日 07時30分 UPDATE
特集/連載

攻撃の検出と防御の方法自動SQLインジェクション攻撃への新たな防御戦術

今日のSQLインジェクション攻撃について説明するとともに、正規のWebサイトに潜んでいる悪質なページを検出、隔離し、それに対処する方法を検証する。

[Michael Cobb,TechTarget]

 SANS InstituteのInternet Storm Centerのアナリストらは最近、SQLインジェクションに対して脆弱なWebサイトを見つけ出して攻撃するプロセスを自動化するツールを発見した。このプロセスの自動化は、正規のサイトの一部を利用してマルウェアをホスティングし、配信するテクニックがますます一般化しつつある状況を示すものだ。

 本稿では、SQLインジェクション攻撃について説明した上で、正規のWebサイトに潜んでいる悪質なページを検出、隔離し、それに対処する方法を検証する。

従来のSQLインジェクション攻撃

 SQLインジェクション攻撃自体は決して新しいものではない。例えば、有名な2003年のケースでは、アパレル企業GuessのWebサイトがSQLインジェクション攻撃を受けた結果、情報が流出して政府主導による法的和解に至った。当時の裁判資料は、SQLインジェクションについて「標準のWebブラウザのアドレス(URL)バーに攻撃者が特定の文字を入力することにより、WebサイトをサポートするデータベースやWebサイトに接続したデータベースから情報を取得するようアプリケーションに指示する」と記述している。裁判では、攻撃者がアプリケーションを操作して、guess.comのデータベース内のあらゆるテーブルのデータ(平文のまま)にアクセスできるようにしたことが明らかになった。これらのデータには、顧客のクレジットカード情報も含まれていた。

 センシティブなデータを流出させた企業が責任を問われるのは、以前も今も変わらない。最近のSQLインジェクション攻撃で目新しい点は、攻撃が自動化されていることと、攻撃が大規模化していることだ。

進化していたSQLインジェクション攻撃

 技術的な視点から見れば、今日のSQLインジェクション攻撃者は、脆弱なWebサイトを見つけ出そうとする姿勢が徹底しているのが特徴だ。また、攻撃プロセスを迅速化するためにさまざまなツールが利用されている。一例として、スパムボットネット(ウイルスメールを大量に送り付けるために構築されたボットネット)によって広範囲にばらまかれたトロイの木馬「Asprox」を取り上げてみよう。SecureWorksの上席セキュリティ研究員、ジョー・スチュアート氏によると、その仕組みは以下の通りだ。

この記事を読んだ人にお薦めのホワイトペーパー

この記事を読んだ人にお薦めの関連記事

Loading

注目テーマ

ITmedia マーケティング新着記事

news097.jpg

外国人観光客へのプロモーションお任せ、ジョイズジャパンがネットでサービス展開
ジョイズジャパンは12月22日、訪日外国人に対して自社商品/サービスをPRしたい企業や観...

news096.jpg

ビッグデータ活用の人材育成、日本IBMが筑波大学を支援
日本IBMは12月19日、ビッグデータ活用に関わる人材育成に向け、筑波大学が設置するサービ...

news094.jpg

バーチャルリアリティをマーケティングに活用へ、博報堂ら3社がソリューション開発に着手
博報堂と博報堂プロダクツ、スマホVR(バーチャルリアリティ)サービスを展開するハコス...