こんにちは。匠技術研究所の谷山 亮治です。
SQLインジェクション攻撃の新たな方法と、SQLインジェクションの攻撃の件数の推移の情報が以下にあります。Web管理者は必読です。
【CSL】CSL緊急注意喚起レポート
~新手のSQLインジェクションを行使するボットの確認~
Windows IIS/ASPでのCookieを利用した新手の攻撃方法とその回避方法が示されています。既設のWAF(Web Application Firewall)での対策が十分でない可能性があり、WAF導入サイトでも注意が必要です。
ドキュメントにあるとおり、この脆弱性はCookie経由のパラメータを、IIS/ASPが自動的に「多分こうだろうな」と「変更を加えてしまう」機能を悪用しています。
■対応の方針
IIS/ASPとSQLデータベースを使っているサイトでは、種々の確認前の緊急対応として、先ず以下のことを実施します。
0.自社のサイトがIIS/ASPとSQLデータベースを使っているかどうか確認する
Web管理者に尋ねれば直ぐわかります。
1.攻撃元IPアドレスからの通信を遮断する
ドキュメント上にドキュメント作成時点での攻撃元IPがあります。ドキュメントでも注意を喚起していますが興味本位で「絶対にアクセスしない」こと。攻撃元に「興味があるIPはこれだ」=「脆弱性が気になっている」と教えることになります。また、別の攻撃を仕掛けている可能性があります。
攻撃が既知となったので、攻撃元がIPアドレスを変える可能性があること、今後この攻撃を模倣した他の攻撃者が出現するので攻撃元IPアドレスを網羅できないことから、根本的な対策が必ず必要です。
2.自社のサイトが攻撃に耐えうるかどうかを確認する
これはWebプログラミングを実施した方に、先のドキュメントを渡すと理解できるはずです。IISでもASPの利用が無ければ本攻撃は対象外です。IIS/ASPを使っていても、SQLデータベースを使っていなければ本攻撃は対象外です。
根本的には、IISに限らずWebプログラミング全般での解決が望ましく、
3.Cookie経由のSQLインジェクションの可能性への配慮
これは簡単で、ドキュメントにあるようにCookie経由でのデータベース情報の受け渡しをしなければ良いのです。他に一般的な方法があります。
Webシステムの開発では「セキュリティを確保する基本に忠実」に実装することが一番です。皆が使っている実績のある方法での実装を厳守することです。多くの利用者がいることで、例え脆弱性が見つかっても、回避方法も多くの利用者で議論されます。
今回の新手の攻撃も、裏を返せばこのような攻撃をしなければならないほど、抜け道が少なくなってきていることの表れです。
IPAによる「安全なウェブサイトの作り方 改訂第3版」
(*)この記事の作成・投稿はEeePC 901-XのWindowsXPとFirefox3で行いました。
☆中小企業のIT活用に関する、ご質問・ご相談はお気軽にどうぞ!
SQLインジェクション攻撃の新たな方法と、SQLインジェクションの攻撃の件数の推移の情報が以下にあります。Web管理者は必読です。
【CSL】CSL緊急注意喚起レポート
~新手のSQLインジェクションを行使するボットの確認~
Windows IIS/ASPでのCookieを利用した新手の攻撃方法とその回避方法が示されています。既設のWAF(Web Application Firewall)での対策が十分でない可能性があり、WAF導入サイトでも注意が必要です。
ドキュメントにあるとおり、この脆弱性はCookie経由のパラメータを、IIS/ASPが自動的に「多分こうだろうな」と「変更を加えてしまう」機能を悪用しています。
■対応の方針
IIS/ASPとSQLデータベースを使っているサイトでは、種々の確認前の緊急対応として、先ず以下のことを実施します。
0.自社のサイトがIIS/ASPとSQLデータベースを使っているかどうか確認する
Web管理者に尋ねれば直ぐわかります。
1.攻撃元IPアドレスからの通信を遮断する
ドキュメント上にドキュメント作成時点での攻撃元IPがあります。ドキュメントでも注意を喚起していますが興味本位で「絶対にアクセスしない」こと。攻撃元に「興味があるIPはこれだ」=「脆弱性が気になっている」と教えることになります。また、別の攻撃を仕掛けている可能性があります。
攻撃が既知となったので、攻撃元がIPアドレスを変える可能性があること、今後この攻撃を模倣した他の攻撃者が出現するので攻撃元IPアドレスを網羅できないことから、根本的な対策が必ず必要です。
2.自社のサイトが攻撃に耐えうるかどうかを確認する
これはWebプログラミングを実施した方に、先のドキュメントを渡すと理解できるはずです。IISでもASPの利用が無ければ本攻撃は対象外です。IIS/ASPを使っていても、SQLデータベースを使っていなければ本攻撃は対象外です。
根本的には、IISに限らずWebプログラミング全般での解決が望ましく、
3.Cookie経由のSQLインジェクションの可能性への配慮
これは簡単で、ドキュメントにあるようにCookie経由でのデータベース情報の受け渡しをしなければ良いのです。他に一般的な方法があります。
Webシステムの開発では「セキュリティを確保する基本に忠実」に実装することが一番です。皆が使っている実績のある方法での実装を厳守することです。多くの利用者がいることで、例え脆弱性が見つかっても、回避方法も多くの利用者で議論されます。
今回の新手の攻撃も、裏を返せばこのような攻撃をしなければならないほど、抜け道が少なくなってきていることの表れです。
IPAによる「安全なウェブサイトの作り方 改訂第3版」
(*)この記事の作成・投稿はEeePC 901-XのWindowsXPとFirefox3で行いました。
☆中小企業のIT活用に関する、ご質問・ご相談はお気軽にどうぞ!