データベースと連携するアプリケーションの不備を悪用して、アプリケーションへの入力データに SQL 文を挿入し、データベースを不正に操作する試みを SQL インジェクション攻撃といいます。 昨年の夏から SQL インジェクション攻撃によってデータベースの書き換えを行い、Web サーバのコンテンツを改ざんする事例が複数確認されています。この攻撃によって改ざんされた Web サイトを閲覧することで、ユーザのコンピュータ上にマルウェアがインストールされる危険性があります。 今後も継続的に、ツールなどを使用した大規模な SQL インジェクション攻撃が発生する可能性があります。外部に Web アプリケーションを公開する際には、適切な対策がとられていることを確認してください。
参考文書(日本語)
-
JPCERT/CC Alert 2008-03-14
SQL インジェクションによる Web サイト改ざんに関する注意喚起
http://www.jpcert.or.jp/at/2008/at080005.txt
-
注意喚起 【LAC|ラック】
日本をターゲットとしたSQLインジェクションによるホームページ改ざん行為と、同行為により改ざんされたページへのアクセスによるマルウェア感染について
http://www.lac.co.jp/news/press20080312.html
-
独立行政法人 情報処理推進機構セキュリティセンター
「安全なウェブサイトの作り方 改訂第3版」
http://www.ipa.go.jp/security/vuln/websecurity.html
参考文書(英語)
-
US-CERT Current Activity Archive
Websites Compromised Through SQL Injection
http://www.us-cert.gov/current/archive/2008/03/14/archive.html#website_compromises_facilitating_exploitation_of
Weekly Report 2008-03-26号 に掲載