サイト内検索

|  詳細検索

【 ここから本文 】

• TOP
• >  Topics : アクセス制御／認証
• >  

アクセス制御／認証

ソーシャルブックマークに登録 ：
印刷用ページの表示

---

【解説】
SQLインジェクション攻撃の“第3の波”――大規模サイト・ハッキングは今後も続く

IBMのセキュリティ研究員、攻撃の仕組みの複雑化・高度化を警告

（2008年05月16日）

「正体がつかみにくく、瞬時に被害が広がる」

　「5〜6年前からSQLインジェクションの動向を追ってきたが、最近発生している攻撃は、これまで見てきた中で最も複雑で正体をつかみにくい部類に入る」と、IBMのインターネット・セキュリティ研究部門であるInternet Security Systems（ISS）でX-Force技術担当リサーチ・マネジャーを務めるデビッド・デューイ（David Dewey）氏は警告する。

　SQLインジェクションは、データベース・ドリブンなWebサイトに対するネットワーク攻撃で、悪意を持ったハッカー／クラッカーは、インターネットに接続されたシステム上の安全性の低いコードを利用して、不正なSQLコマンドを実行する。

　Dewey氏が「正体をつかみにくい」と評するのは、クラッカーが一見正当な機能で攻撃を隠すようになってきたからだ。SQLインジェクション攻撃は、クラッカーが目的を果たすためのSQLコマンドを変えるのに伴って変化していくが、結果は同じだ。

　SQLインジェクションは、Webの世界で最も頻発する攻撃の1つだが、その一因は、攻撃を行うのにWebブラウザとSQLクエリの知識くらいしか必要としないからだ。「だが、最近の攻撃はきわめて複雑になっており、手遅れになるまでなかなか気づかれない」とDewey氏は指摘する。

　クラッカーは、世界中で使われているIPアドレスから無作為に抽出したものをターゲットにSQLインジェクション攻撃を仕掛け、攻撃を受け入れるWebサイトを探す。ユーザーに広く信頼され、成功しているeコマース・サイトの多くが今回の被害にあっている。攻撃されたサイトにアクセスしたユーザーは、別のサイトにリダイレクトされ、そこでマルウェアを仕込まれてボットネットに組み込まれる。

　この一連のプロセスはあっという間に進むため、どんなユーザーも避けることはできない。Dewey氏によると、この手のSQLインジェクション攻撃は今年1月に小規模に始まったという。そして、4月に入り、クラッカーがセキュリティ対策をかいくぐるためにコマンドを変更し、攻撃件数が爆発的に増加したという。

SQLインジェクション攻撃“第3の波”の脅威

　2週間ほど前、IBMの研究員が最新のバージョンの攻撃を発見しており、Dewey氏はこれをSQLインジェクション攻撃の第3の波と呼んでいる。この新バージョンは、第2の波に対するセキュリティ対策を回避するように設計されているが、攻撃されたWebサイトはあっという間に顕著な被害を受ける。

　「基本的に、この攻撃はデータベース・レコードをすべて消去し、代わりに別の内容を注入しようとする。顧客口座情報のような最重要機密データから、ブログ・コンテンツのようなシンプルなデータまで、バックエンドにあるデータがすべて破壊されてしまう」（Dewey氏）

　最新のSQLインジェクション攻撃を受けたサイトの1つに、英国の広告／マーケティング企業のWebサイト「Autoweb」がある。Dewey氏によると、IBMのISS部門X-Forceチームは、SQLインジェクション攻撃の検出方法を最近変えたことで、同サイトへの攻撃を発見できたたという。

---

---

▲ページの先頭へ戻る

---