ラックは6日、Webアプリケーションやデータベースのセキュリティ対策状況と対策法をまとめたレポート「緊急対応から見たWebサイト用データベースセキュリティ対策~継続するSQLインジェクションの脅威」を公開した。
レポートは、ラックの研究機関であるサーバーリスク総合研究所のデータベースセキュリティ研究所が「情報漏洩緊急対策サービス」を通して得た情報をもとに、セキュリティ対策状況や対策法をまとめたもので、2008年3月以降に急増している「SQLインジェクション攻撃」に関する内容が中心となっている。
ラックのセキュリティオペレーションセンター「JSOC」が検知している統計では、Webアプリケーションの脆弱性を悪用するSQLインジェクション攻撃が2008年3月以降に急増しており、その原因については、中国のサイトでSQLインジェクション攻撃を自動で行うツールや公開されているため、広く攻撃手法が公開されていることが攻撃を助長し、多数のWebサイトが被害に遭っていると分析している。
レポートでは、SQLインジェクション攻撃の手口として、エラーメッセージを利用して情報を詐取する方法や、データベースの文字列フィールドにタグを埋め込む手法や、サーバー上で任意のコマンドを実行させる例などを紹介。SQLインジェクション攻撃の被害サイトには、入力データのチェック処理やエスケープ処理漏れ、推測されやすいセッションIDの利用など、基本的な対策の漏れが共通して見られるとしている。
外部からの攻撃の兆候を確認する方法としては、ラックのサイトで公開している無料の簡易Webサーバーログ解析ツール「SecureSite Checker Free」の利用や、データベースに不正な文字列が挿入されていないかの確認、サーバー上に不正なプログラムが置かれていないかを確認する方法を紹介している。また、多くのサイトのデータベースの運用においては、「データベースユーザーのアクセス権限の過剰付与」「重要情報が暗号化されていない」「データベースアクセスログ取得の未実施」などの不備が見られると指摘している。
こうしたことからラックでは、SQLインジェクション攻撃に対応するために実施すべき4つの対策として、「アプリケーション用データベースユーザーの管理者権限利用禁止」「データベースにおける主要操作のロギング」「データベーストリガーによるSQLインジェクション攻撃の防御」「エラーページのカスタマイズ」の4点を指摘。また、これらの対策に加えて、安全なWebアプリケーション開発およびデータベースに対するセキュリティ対策を行うことが必要だとして、公開されているセキュリティ対策の参考資料を紹介している。
関連情報
■URL
ニュースリリース
http://www.lac.co.jp/news/press20080806.html
■関連記事
・ ラック、無償ログ解析ツールを強化-SQLインジェクション3倍増に対抗(2008/06/09)
・ セキュリティ対策を回避する攻撃が増加、ラックの侵入傾向分析レポート(2008/04/15)
・ Web改竄の攻撃が再開の兆し、十分な警戒を~ラック川口氏(2008/03/27)
( 三柳英樹 )
2008/08/06 17:04
- ページの先頭へ-
|