緊急対応から見たWebサイト用データベースセキュリティ対策~継続するSQLインジェクションの脅威

[2008年08月06日]
緊急対応から見たWebサイト用データベースセキュリティ対策~継続するSQLインジェクションの脅威~
2008年に入って増加しているSQLインジェクション攻撃を中心に、LACで提供している個人情報漏えい緊急対応サービスである「個人情報119」を通して得た情報を基に、Webアプリケーションやデータベースセキュリティ対策の状況、および対策方法をまとめました。
CSL Report / DBSL Report | LAC

SQL インジェクション攻撃は、2000 年頃には認識されていた攻撃手法で、Web アプリケーションのエラーメッセージを悪用した情報詐取や、画面に使われているデータの改ざんを行います。2005 年以降は、クレジットカード情報やオンラインゲームのI D、パスワードの詐取を狙う、いわゆる金銭目的のための攻撃が大半を占めています。
2008 年3 月頃からはSQL インジェクション攻撃の検知数が増加しており、5 月をピークにその後も高い数値で推移
データベース側でのログを取得しておく必要があります。データベース側で取得
すべき主要な操作とは
. データベースへの接続
. 重要情報に対する操作
. データベース管理情報へのアクセス
. 設定変更(データベースやオブジェクトの変更等)
. 強力な権限を持つユーザの操作
が挙げられます。また、SQL インジェクション攻撃内容を把握するため、ぜひ実行された、
SQL 文を取得することを検討してください。