クッキーにSQLインジェクション攻撃を埋め込む新手の攻撃手法を確認(ラック) | ScanNetSecurity
2026.07.10(金)

クッキーにSQLインジェクション攻撃を埋め込む新手の攻撃手法を確認(ラック)

 株式会社ラックは10月2日、同社の研究機関であるサイバーリスク総合研究所のコンピュータセキュリティ研究所から緊急注意喚起レポートを公開した。本レポートによると、IDS/IPS、WAFなどの防御システムをすり抜け、Webサイトの管理者が気づきにくい手法で攻撃する新手

製品・サービス・業界動向 業界動向
 株式会社ラックは10月2日、同社の研究機関であるサイバーリスク総合研究所のコンピュータセキュリティ研究所から緊急注意喚起レポートを公開した。本レポートによると、IDS/IPS、WAFなどの防御システムをすり抜け、Webサイトの管理者が気づきにくい手法で攻撃する新手のSQLインジェクション攻撃を行使するボットを確認したと報告されている。

 また、この新手のSQLインジェクション攻撃はラックのセキュリティオペレーションセンターJSOCでも9月30日早朝から検知されており、また、実際の被害に遭ったWebサイトも確認されたため、広く注意喚起する目的で本レポートを公開したという。この攻撃の特徴は、CookieにSQLインジェクション攻撃が埋め込まれていることであり、このためWebサーバのログに攻撃の痕跡が記録されない可能性が高く、また一部のIDS/IPSでは検知されないケースがある。さらに、攻撃自体にIDS/IPS検知機能を回避する手法がとられているため、IDS/IPSで検知されないケースがあるという。


http://www.lac.co.jp/info/rrics_report/csl20081002.html

《ScanNetSecurity》

PageTop

アクセスランキング

  1. 5,016,432 人分の BIGLOBE メールアドレスが漏えい ~ KDDI の ISP 事業者向けメールシステムへの不正アクセス

    5,016,432 人分の BIGLOBE メールアドレスが漏えい ~ KDDI の ISP 事業者向けメールシステムへの不正アクセス

  2. 2,248,708 名分の @nifty メールアドレスが漏えい ~ KDDI の ISP 事業者向けメールシステムへの不正アクセス

    2,248,708 名分の @nifty メールアドレスが漏えい ~ KDDI の ISP 事業者向けメールシステムへの不正アクセス

  3. マネーフォワードが利用する「GitHub」への不正アクセス、流出した可能性が判明した個人データの詳細公表

    マネーフォワードが利用する「GitHub」への不正アクセス、流出した可能性が判明した個人データの詳細公表

  4. 「意図的な流通ではない」廃棄OA機器のハードディスク未破壊でオークション出品、受託業者が謝罪と再発防止を発表

    「意図的な流通ではない」廃棄OA機器のハードディスク未破壊でオークション出品、受託業者が謝罪と再発防止を発表

  5. KDDI の ISP 事業者向けメールシステムへの不正アクセス、総務省が報告を求める

    KDDI の ISP 事業者向けメールシステムへの不正アクセス、総務省が報告を求める

ランキングをもっと見る
PageTop