「SQLインジェクション」によると思われる公開サーバーへの攻撃が相次いでいる。
SQLインジェクションとは,Webアプリケーションの脆弱性を突く攻撃手法の一つ。SQLインジェクション自体は目新しいものではない。しかし,SQLインジェクションを自動的に行うツールの出現により,最近特に目立ち始めたという。
業種や事業規模にかかわらず,Webサーバーを運営している企業/組織にとっては対岸の火事ではない。いつ狙われても不思議ではない。対策が急務である。「ウチはきちんと対策をしている」と考えている企業/組織も改めて確認すべきである。セキュリティに万全はない。
本稿では,IT Proに掲載したSQLインジェクションに関する記事をまとめた。対策を施すときや再確認時の参考にしていただければ幸いである。
ニュース
◆「WWWアプリケーションの92%が攻撃に対して脆弱性有り」,米WebCohortの調査 [2004/02/18]
◆不正アクセス事件のカカクコムが会見,「Windowsサーバーの継続利用は今後の議題」 [2005/05/25]
◆【続報】OZmallへの不正アクセスの手口は「SQLインジェクション」 [2005/05/31]
◆スターツ出版が「OZmall事件」の説明会を開催,「被害防止のために情報共有を」 [2005/06/10]
◆アデコの不正アクセス,SQLインジェクションで約6万人の個人情報が流出 [2005/06/29]
◆「価格.com」不正アクセス犯の一人? 警視庁が容疑者を逮捕 [2005/07/06]
◆【緊急インタビュー】SQLインジェクション攻撃に気づかない企業は山のようにある [2005/07/06]
解説
◆警鐘●SQLインジェクションによる不正アクセスに注意 [2003/11/17]
◆対岸の火事ではない「価格.com問題」,みなさんの悩みは? [2005/06/03]
◆セキュア・プログラミングのすすめ [2005/07/04]
◆Webアプリケーションをセキュアに(第1回) [2005/07/06]
