2008年07月16日 07時30分 公開
特集/連載

自動SQLインジェクション攻撃への新たな防御戦術攻撃の検出と防御の方法

今日のSQLインジェクション攻撃について説明するとともに、正規のWebサイトに潜んでいる悪質なページを検出、隔離し、それに対処する方法を検証する。

[Michael Cobb,TechTarget]

 SANS InstituteのInternet Storm Centerのアナリストらは最近、SQLインジェクションに対して脆弱なWebサイトを見つけ出して攻撃するプロセスを自動化するツールを発見した。このプロセスの自動化は、正規のサイトの一部を利用してマルウェアをホスティングし、配信するテクニックがますます一般化しつつある状況を示すものだ。

 本稿では、SQLインジェクション攻撃について説明した上で、正規のWebサイトに潜んでいる悪質なページを検出、隔離し、それに対処する方法を検証する。

従来のSQLインジェクション攻撃

 SQLインジェクション攻撃自体は決して新しいものではない。例えば、有名な2003年のケースでは、アパレル企業GuessのWebサイトがSQLインジェクション攻撃を受けた結果、情報が流出して政府主導による法的和解に至った。当時の裁判資料は、SQLインジェクションについて「標準のWebブラウザのアドレス(URL)バーに攻撃者が特定の文字を入力することにより、WebサイトをサポートするデータベースやWebサイトに接続したデータベースから情報を取得するようアプリケーションに指示する」と記述している。裁判では、攻撃者がアプリケーションを操作して、guess.comのデータベース内のあらゆるテーブルのデータ(平文のまま)にアクセスできるようにしたことが明らかになった。これらのデータには、顧客のクレジットカード情報も含まれていた。

 センシティブなデータを流出させた企業が責任を問われるのは、以前も今も変わらない。最近のSQLインジェクション攻撃で目新しい点は、攻撃が自動化されていることと、攻撃が大規模化していることだ。

進化していたSQLインジェクション攻撃

 技術的な視点から見れば、今日のSQLインジェクション攻撃者は、脆弱なWebサイトを見つけ出そうとする姿勢が徹底しているのが特徴だ。また、攻撃プロセスを迅速化するためにさまざまなツールが利用されている。一例として、スパムボットネット(ウイルスメールを大量に送り付けるために構築されたボットネット)によって広範囲にばらまかれたトロイの木馬「Asprox」を取り上げてみよう。SecureWorksの上席セキュリティ研究員、ジョー・スチュアート氏によると、その仕組みは以下の通りだ。

ITmedia マーケティング新着記事

news156.jpg

サイロ化の現実 75%の企業は部門間が連携せず、むしろ競争関係にある――Accenture調査
デジタル変革(DX)における不十分な事業部間連携は業績低下につながるというAccentureの...

news052.png

ゲーム業界がコロナ禍でTwitterを活用したコミュニケーションに注力した理由
コロナ禍において「巣ごもり消費」が拡大し追い風が吹いているといわれるゲーム業界だが...

news139.jpg

コロナ禍の観光に見える20の兆しとは? TBWA HAKUHODOなどが「観光復興ガイド」を公開
SNS上の旅行に対する価値観の激しい変化を分析し、そこから見えた20の新たな兆しとその後...