「SQLインジェクション」を用いた攻撃の流れ(発表スライドから引用)
「SQLインジェクション」を用いた攻撃の流れ(発表スライドから引用)
[画像のクリックで拡大表示]

 「従来、SQLインジェクションを行う攻撃者の目的は、データベースサーバーに置かれた情報を盗むことがほとんどだった。ところが2007年以降は、Webページに不正なスクリプト(ウイルスを感染させる「わな」)を埋め込むケースが増えている。一般ユーザーのパソコンにウイルスを感染させて、お金になるデータを盗み出すためだ」。ラックのセキュリティ事業本部 JSOC事業部 技術部 JSOCチーフエバンジェリスト兼セキュリティアナリストである川口洋氏は2008年3月27日、同社が開催した説明会において解説した。

 ラックは2008年3月12日、同社の観測データを基に、3月11日の夜以降、日本のWebサイトを狙ったWebページの改ざんが相次いでいるとして注意喚起した。そのうちの一つが、同日公表されたトレンドマイクロのWebページ改ざんだったと考えられる。

 この注意喚起について、ラックには多数の問い合わせが寄せられたという。このため同社では、一連のWebページ改ざんに関して説明会を開催した。その席上において川口氏は、Webページの改ざんに用いられているSQLインジェクションについて解説した。

 SQLインジェクションとは、Webアプリケーションの脆弱(ぜいじゃく)性を悪用して、Webサーバーと接続しているデータベースに不正なアクセスを試みる手口。攻撃が“成功”すれば、サーバー上でほとんどの操作が可能となる。例えば、データベースに保存された情報を盗んだり、Webページを改ざんしたりすることできる。

 「SQLインジェクションを行う攻撃者の目的は、2005年まではサーバーへの侵入が主目的だった。それが、2005年以降は、データベースに保存された情報を盗むことに変わった。現在でも、攻撃者の99.99%は、データベースの情報を狙ってSQLインジェクションを仕掛ける」(川口氏)。

この先は会員の登録が必要です。今なら有料会員(月額プラン)が4月末まで無料!

日経 xTECHには有料記事(有料会員向けまたは定期購読者向け)、無料記事(登録会員向け)、フリー記事(誰でも閲覧可能)があります。有料記事でも、登録会員向け配信期間は登録会員への登録が必要な場合があります。有料会員と登録会員に関するFAQはこちら