CISOの相談室　第5回うちの会社は大丈夫？　相次ぐSQLインジェクションのWebサイト改ざん

SQLインジェクションの安全性チェックの方法を教えて下さい。最近、SQLインジェクションという攻撃によって、Webサイトが改ざんされ閲覧したお客様のPCにウイルスがインストールされたり、Webサイト内のお客様情報の漏えいが起きたりすると聞いて恐ろしくなっています。うちの会社のサイトは大丈夫なのか不安です。安価で簡単に自社サイトが安全かどうかを調べる方法はないでしょうか？

◎ 相談室にご相談をお寄せください
メールでのご相談 scan@cybozu-mt.jp
Webフォームからのご相談 https://shop.ns-research.jp/form/fm/qa

─

●増加するSQLインジェクション攻撃

近年、Webサイトを狙ったSQLインジェクション攻撃が急増しています。特に2008年3月頃より、SQLインジェクション攻撃によるWebサイトの改ざんや不正コード（マルウェア）を仕掛けられたページが数十万ページにも達しており、前年比の6倍〜8倍にもなっています。IPAに届出られたWebアプリケーションの脆弱性の約3割がSQLインジェクションの脆弱性となっており、Webサイトの管理者は自社サイトについてSQLインジェクション対策が急務となっています。

●SQLインジェクションとは？

SQLインジェクション攻撃（SQL Injection Attack）は、Webアプリケーションに対する攻撃手法の一つです。Webアプリケーションの脆弱性を悪用して、アプリケーションが想定していないSQL(Structured Query Language)を攻撃者（もしくは攻撃ツール）が実行します。その結果、データベース情報の漏えい、改ざん、不正操作などの脅威が発生します。

このような被害を受けないためにも、Webサイトの運営者は、Webサイトに被害が発生していないかWebサーバのアクセスログを常に監視したり、Webアプリケーションの脆弱性検査を定期的に実施し、脆弱性の無いWebサイトを構築したりする必要があります。

最近のSQLインジェクション攻撃の傾向として、以下があげられます。

・攻撃ツールの普及により膨大な数のWebサイトが自動的に調査・攻撃されている
・日頃からログ等を監視していない限り、発見しにくい
・独自開発のWebアプリケーションが被害に合いやすい
・被害時には、サービスの停止や対応窓口の設置など、企業活動に大きく影響する

●Webサイトとデータベースの安全性を安く簡単に調べる方法

IPAでは、SQLインジェクション攻撃を検出する簡易ツール「iLogScanner」を無料で提供しています。このツールは、Webサーバのアクセスログの中から、SQLインジェクション攻撃によく用いられる文字列を検出し、Webサイトが日頃どれだけの攻撃を受けているか、また、攻撃が成功した可能性があるかを解析する簡易ツールです。

iLogScanner：
http://www.ipa.go.jp/security/vuln/iLogScanner.html

また、Imperva社の「Scuba」は、データベースの脆弱性を検出する無料のスキャナです。セキュリティパッチが適用されていないソフトウェア、危険なプロセス、および弱いパスワードなど何百ものテストを実施して、欠点を見つけます。

Scuba：
http://www.ahkun.jp/product/ss3.html

これらの簡易ツールでは、攻撃の可能性や、攻撃成功を知ることはできますが、攻撃をリアルタイムに防ぐことはできません…

【執筆：せきゅバカ一代】
＜執筆者略歴＞
セキュリティ業界で15年。
現在は某セキュリティ会社の社長を勤める。
自ら世界中を駆け巡って新技術を収集している。

◎ 相談室にご相談をお寄せください
メールでのご相談 scan@cybozu-mt.jp
Webフォームからのご相談 https://shop.ns-research.jp/form/fm/qa
──
※ この記事は Scan購読会員向け記事をダイジェスト掲載しました
購読会員登録案内
http://www.ns-research.jp/cgi-bin/ct/p.cgi?m-sc_netsec