ニュース
SQLインジェクションの脆弱性がある日本のサイト400件の情報が中国サイトに投稿されていたことが判明、IPAが注意喚起
2017年1月26日 06:00
中国の脆弱性情報のポータルサイト「WooYun」に2016年2月以降、SQLインジェクションの脆弱性が存在する日本国内のウェブサイト約400件の情報が登録されていたことが判明。独立行政法人情報処理推進機構(IPA)セキュリティセンターでは25日、脆弱性が存在し続けているウェブサイトに対して、注意喚起を行った。なお、WooYunは現在、閉鎖状態となっている。
IPAによれば、「情報セキュリティ早期警戒パートナーシップ脆弱性届出制度」が発足した2004年から2016年までに届出がされたSQLインジェクションの脆弱性は1055件。WooYunに登録されていたウェブサイトの数は、その38%に相当する。これらの脆弱性が悪用された場合、ウェブサイトの改ざん・破壊、情報窃取などの被害を及ぼす可能性があったという。
ウェブサイトに入力フォームなどの情報の収集の仕組みを設けている場合は、個人情報を収集・管理していなくても、改ざんなどの攻撃を受ける可能性がある。
IPAでは、このほかにも脆弱性が存在するウェブサイトが相当数存在すると推測しており、セキュリティを考慮したウェブサイト構築と検証がほとんど実践されていないことを原因に挙げている。そして、安全なウェブサイトの運営・維持へ向け、ウェブサイト運営者に対して、SQLインジェクションをはじめとした脆弱性の再点検と改修を促すため、注意喚起を行い、脆弱性検査を至急実施することを推奨している。
なお、約400件のウェブサイトに存在する脆弱性は、脆弱性届出制度の下では「取り扱い対象外」となる不正アクセス禁止法に抵触する方法で検出された可能性があるが、日本国内における脅威が看過できないことから、IPAでは脆弱性が確認された国内ウェブサイト248件の運営者に対し、特例的に脆弱性の存在を通知しているとのこと。内訳を見ると67%が一般企業で、全体の約半数は非上場となっている。
IPAでは、無償ツールによる脆弱性検出方法を解説した「ウェブサイトにおける脆弱性検査手法(ウェブアプリケーション検査編)」や、セキュリティを考慮したウェブサイトを作成するための資料「安全なウェブサイトの作り方」と、その別冊「安全なSQLの呼び出し方」を公開している。