セキュリティ対策のコンサルティングなどを手がけるラックは3月3日,「JSOC SQLインジェクション緊急レポート」を公開した。同社が運営するセキュリティ監視センター「JSOC」(Japan Security Operation Center)の観測結果によると,昨年後半からSQLインジェクションのぜい弱性を狙った攻撃が急増しているとする。
中でも多いのが,中国からの攻撃。その一因として,中国語のWebサイトでSQLインジェクションの攻撃ツールが数多く配布されている点を挙げる。攻撃ツールはGUI画面になっており,専門知識がなくても誰でも容易に攻撃できるという。
以前は著名なWebサイトが狙われる傾向にあったが,最近は無差別に攻撃を受ける傾向にある。クレジットカードなどの決済情報に限らず,メール・アドレスのような個人情報を狙った攻撃も確認されている。同リポートでは,アクセス・ログを確認したり,ぜい弱性診断を受けるなど,すぐに対策を実施すべきと訴えている。
なお,SQLインジェクションとは,WebサーバーへのリクエストにSQLコマンドを注入(injection)することにより,Webアプリケーションが実行するSQL文を改変する攻撃。データベース・サーバーを不正に操作され,データの漏えいや改ざん,破壊を受けるなどの危険性がある。
