2008年07月16日 07時30分 UPDATE
特集/連載

攻撃の検出と防御の方法自動SQLインジェクション攻撃への新たな防御戦術

今日のSQLインジェクション攻撃について説明するとともに、正規のWebサイトに潜んでいる悪質なページを検出、隔離し、それに対処する方法を検証する。

[Michael Cobb,TechTarget]

 SANS InstituteのInternet Storm Centerのアナリストらは最近、SQLインジェクションに対して脆弱なWebサイトを見つけ出して攻撃するプロセスを自動化するツールを発見した。このプロセスの自動化は、正規のサイトの一部を利用してマルウェアをホスティングし、配信するテクニックがますます一般化しつつある状況を示すものだ。

 本稿では、SQLインジェクション攻撃について説明した上で、正規のWebサイトに潜んでいる悪質なページを検出、隔離し、それに対処する方法を検証する。

従来のSQLインジェクション攻撃

 SQLインジェクション攻撃自体は決して新しいものではない。例えば、有名な2003年のケースでは、アパレル企業GuessのWebサイトがSQLインジェクション攻撃を受けた結果、情報が流出して政府主導による法的和解に至った。当時の裁判資料は、SQLインジェクションについて「標準のWebブラウザのアドレス(URL)バーに攻撃者が特定の文字を入力することにより、WebサイトをサポートするデータベースやWebサイトに接続したデータベースから情報を取得するようアプリケーションに指示する」と記述している。裁判では、攻撃者がアプリケーションを操作して、guess.comのデータベース内のあらゆるテーブルのデータ(平文のまま)にアクセスできるようにしたことが明らかになった。これらのデータには、顧客のクレジットカード情報も含まれていた。

 センシティブなデータを流出させた企業が責任を問われるのは、以前も今も変わらない。最近のSQLインジェクション攻撃で目新しい点は、攻撃が自動化されていることと、攻撃が大規模化していることだ。

進化していたSQLインジェクション攻撃

 技術的な視点から見れば、今日のSQLインジェクション攻撃者は、脆弱なWebサイトを見つけ出そうとする姿勢が徹底しているのが特徴だ。また、攻撃プロセスを迅速化するためにさまざまなツールが利用されている。一例として、スパムボットネット(ウイルスメールを大量に送り付けるために構築されたボットネット)によって広範囲にばらまかれたトロイの木馬「Asprox」を取り上げてみよう。SecureWorksの上席セキュリティ研究員、ジョー・スチュアート氏によると、その仕組みは以下の通りだ。

この記事を読んだ人にお薦めのホワイトペーパー

この記事を読んだ人にお薦めの関連記事

Loading

注目テーマ

ITmedia マーケティング新着記事

news016.jpg

「プログラマティック」とは何なのか――日本と米国の論点の違い
プログラマティックの分野で欧米と比べて出遅れている日本。なぜ日本ではなかなか進まな...

news004.jpg

第2回 データドリブンマーケティングの視点から見たマーケティングリサーチ
今回はマーケティングリサーチの役割と商品開発段階におけるアプローチ方法からデータド...

news004.jpg

第1回 CRMプロジェクトからの学びとCCO(Chief Customer Officer)の登場
CRMが日本に登場して約20年、企業は常に“成功事例”を模索しています。本連載では企業の...