【解説】
SQLインジェクション攻撃の“第3の波”――大規模サイト・ハッキングは今後も続く

IBMのセキュリティ研究員、攻撃の仕組みの複雑化・高度化を警告

（2008年05月16日）

50万以上ものWebサイトにハッキングの被害を与え、世界中のWebマスターを震撼させたSQLインジェクション攻撃。その“最新バージョン”は、従来のセキュリティ対策を回避する機能がこれまでのものよりも強く、“第3の波”と呼ぶべき進化を遂げてしまった。以下、米国IBMのセキュリティ研究員による調査結果の一部を紹介する。

Jon Brodkin
Network World米国版

「正体がつかみにくく、瞬時に被害が広がる」

　「5～6年前からSQLインジェクションの動向を追ってきたが、最近発生している攻撃は、これまで見てきた中で最も複雑で正体をつかみにくい部類に入る」と、IBMのインターネット・セキュリティ研究部門であるInternet Security Systems（ISS）でX-Force技術担当リサーチ・マネジャーを務めるデビッド・デューイ（David Dewey）氏は警告する。

　SQLインジェクションは、データベース・ドリブンなWebサイトに対するネットワーク攻撃で、悪意を持ったハッカー／クラッカーは、インターネットに接続されたシステム上の安全性の低いコードを利用して、不正なSQLコマンドを実行する。

　Dewey氏が「正体をつかみにくい」と評するのは、クラッカーが一見正当な機能で攻撃を隠すようになってきたからだ。SQLインジェクション攻撃は、クラッカーが目的を果たすためのSQLコマンドを変えるのに伴って変化していくが、結果は同じだ。

　SQLインジェクションは、Webの世界で最も頻発する攻撃の1つだが、その一因は、攻撃を行うのにWebブラウザとSQLクエリの知識くらいしか必要としないからだ。「だが、最近の攻撃はきわめて複雑になっており、手遅れになるまでなかなか気づかれない」とDewey氏は指摘する。

　クラッカーは、世界中で使われているIPアドレスから無作為に抽出したものをターゲットにSQLインジェクション攻撃を仕掛け、攻撃を受け入れるWebサイトを探す。ユーザーに広く信頼され、成功しているeコマース・サイトの多くが今回の被害にあっている。攻撃されたサイトにアクセスしたユーザーは、別のサイトにリダイレクトされ、そこでマルウェアを仕込まれてボットネットに組み込まれる。

　この一連のプロセスはあっという間に進むため、どんなユーザーも避けることはできない。Dewey氏によると、この手のSQLインジェクション攻撃は今年1月に小規模に始まったという。そして、4月に入り、クラッカーがセキュリティ対策をかいくぐるためにコマンドを変更し、攻撃件数が爆発的に増加したという。