マイクロソフトは25日、マイクロソフトのWebサーバー製品を狙ったSQLインジェクション攻撃が増加しているとして、Webサーバーの管理者などに対策を促すセキュリティアドバイザリを公開した。
マイクロソフトでは、マイクロソフトのWebサーバー製品を狙ったSQLインジェクション攻撃が増加していると警告。これらのSQLインジェクション攻撃では、サーバーソフト自体の脆弱性ではなく、ユーザーが作成したWebアプリケーションの脆弱性が狙われているとして、マイクロソフトでは安全なWebアプリケーション環境の構築を支援する目的で、セキュリティアドバイザリを公開。合わせて、SQLインジェクション対策ツールの提供を開始した。
セキュリティアドバイザリでは、サイトがSQLインジェクション攻撃を受ける可能性があるかを検出するツールとして、米Hewlett-Packardが開発した「HP Scrawlr」を紹介。HP Scrawlrでは、サイトに対してSQLインジェクション攻撃の文字列が含まれるリクエストを送信することで、攻撃の影響を受けると思われるページや入力フィールドなどを確認できる。
SQLインジェクション攻撃に対する防御ツールとしては、マイクロソフトの「URLScan 3.0ベータ版」を紹介。URLScanは、IISに対して特定のHTTPリクエストをブロックすることができるツールで、最新の3.0ベータ版では、SQLインジェクション攻撃を防ぐためのオプションが追加された。
また、Webアプリケーションのプログラム本体を検査するツールとして、ASP向けの「Source Code Analyzer for SQL Injection」の提供を開始。このツールは、ASPのソースコードを分析することで、SQLインジェクションの脆弱性を引き起こす可能性があるコードの存在をチェックし、問題点を特定するのに役立つ。
マイクロソフトでは、これらのツールを利用することで、Webサーバーの管理者やWebアプリケーションの開発者などに向けて、SQLインジェクション攻撃への対策を行なうよう呼びかけている。
関連情報
■URL
マイクロソフトセキュリティアドバイザリ(954462)
http://www.microsoft.com/japan/technet/security/advisory/954462.mspx
■関連記事
・ SQLインジェクション攻撃が多発、IPAがサイト運営者らに注意呼びかけ(2008/06/03)
( 三柳英樹 )
2008/06/25 15:01
- ページの先頭へ-
|