2008年07月16日 07時30分 UPDATE
特集/連載

攻撃の検出と防御の方法自動SQLインジェクション攻撃への新たな防御戦術

今日のSQLインジェクション攻撃について説明するとともに、正規のWebサイトに潜んでいる悪質なページを検出、隔離し、それに対処する方法を検証する。

[Michael Cobb,TechTarget]

 SANS InstituteのInternet Storm Centerのアナリストらは最近、SQLインジェクションに対して脆弱なWebサイトを見つけ出して攻撃するプロセスを自動化するツールを発見した。このプロセスの自動化は、正規のサイトの一部を利用してマルウェアをホスティングし、配信するテクニックがますます一般化しつつある状況を示すものだ。

 本稿では、SQLインジェクション攻撃について説明した上で、正規のWebサイトに潜んでいる悪質なページを検出、隔離し、それに対処する方法を検証する。

従来のSQLインジェクション攻撃

 SQLインジェクション攻撃自体は決して新しいものではない。例えば、有名な2003年のケースでは、アパレル企業GuessのWebサイトがSQLインジェクション攻撃を受けた結果、情報が流出して政府主導による法的和解に至った。当時の裁判資料は、SQLインジェクションについて「標準のWebブラウザのアドレス(URL)バーに攻撃者が特定の文字を入力することにより、WebサイトをサポートするデータベースやWebサイトに接続したデータベースから情報を取得するようアプリケーションに指示する」と記述している。裁判では、攻撃者がアプリケーションを操作して、guess.comのデータベース内のあらゆるテーブルのデータ(平文のまま)にアクセスできるようにしたことが明らかになった。これらのデータには、顧客のクレジットカード情報も含まれていた。

 センシティブなデータを流出させた企業が責任を問われるのは、以前も今も変わらない。最近のSQLインジェクション攻撃で目新しい点は、攻撃が自動化されていることと、攻撃が大規模化していることだ。

進化していたSQLインジェクション攻撃

 技術的な視点から見れば、今日のSQLインジェクション攻撃者は、脆弱なWebサイトを見つけ出そうとする姿勢が徹底しているのが特徴だ。また、攻撃プロセスを迅速化するためにさまざまなツールが利用されている。一例として、スパムボットネット(ウイルスメールを大量に送り付けるために構築されたボットネット)によって広範囲にばらまかれたトロイの木馬「Asprox」を取り上げてみよう。SecureWorksの上席セキュリティ研究員、ジョー・スチュアート氏によると、その仕組みは以下の通りだ。

この記事を読んだ人にお薦めのホワイトペーパー

この記事を読んだ人にお薦めの関連記事

Loading

注目テーマ

ITmedia マーケティング新着記事

news068.jpg

目立つ! 読まれる! ブログを作る4つのポイント
ブランドの認知度向上に向けて、ブログを活用している企業は多い。だが実際、あまたのブ...

news066.jpg

VOYAGE GROUP、東京工業大学と産学連携 ―― アドテクノロジー分野のビッグデータ活用を共同研究
VOYAGE GROUPは4月17日、東京工業大学と産学連携し、アドテクノロジー分野におけるビッグ...

news031.jpg

日本のメディアが進む道 ―― 朝日新聞メディアラボ、東洋経済オンライン、NHKのメディア戦略から読み解く
メディアは生き残れるのかといった議論が活発な昨今。テレビや新聞、雑誌などのマスメデ...