情報技術の四方山話

AI、IoT、ヤマハルータ、VPN、無線LAN、Linux、クラウド、仮想サーバと情報セキュリティのよもやま話

SQLインジェクションの新たな攻撃方法と対策

2008-10-22 06:56:47 | 情報セキュリティ
こんにちは。匠技術研究所の谷山 亮治です。

SQLインジェクション攻撃の新たな方法と、SQLインジェクションの攻撃の件数の推移の情報が以下にあります。Web管理者は必読です。


【CSL】CSL緊急注意喚起レポート
~新手のSQLインジェクションを行使するボットの確認~


Windows IIS/ASPでのCookieを利用した新手の攻撃方法とその回避方法が示されています。既設のWAF(Web Application Firewall)での対策が十分でない可能性があり、WAF導入サイトでも注意が必要です。

ドキュメントにあるとおり、この脆弱性はCookie経由のパラメータを、IIS/ASPが自動的に「多分こうだろうな」と「変更を加えてしまう」機能を悪用しています。

■対応の方針
IIS/ASPとSQLデータベースを使っているサイトでは、種々の確認前の緊急対応として、先ず以下のことを実施します。

0.自社のサイトがIIS/ASPとSQLデータベースを使っているかどうか確認する
Web管理者に尋ねれば直ぐわかります。

1.攻撃元IPアドレスからの通信を遮断する
ドキュメント上にドキュメント作成時点での攻撃元IPがあります。ドキュメントでも注意を喚起していますが興味本位で「絶対にアクセスしない」こと。攻撃元に「興味があるIPはこれだ」=「脆弱性が気になっている」と教えることになります。また、別の攻撃を仕掛けている可能性があります。

攻撃が既知となったので、攻撃元がIPアドレスを変える可能性があること、今後この攻撃を模倣した他の攻撃者が出現するので攻撃元IPアドレスを網羅できないことから、根本的な対策が必ず必要です。

2.自社のサイトが攻撃に耐えうるかどうかを確認する
これはWebプログラミングを実施した方に、先のドキュメントを渡すと理解できるはずです。IISでもASPの利用が無ければ本攻撃は対象外です。IIS/ASPを使っていても、SQLデータベースを使っていなければ本攻撃は対象外です。

根本的には、IISに限らずWebプログラミング全般での解決が望ましく、

3.Cookie経由のSQLインジェクションの可能性への配慮
これは簡単で、ドキュメントにあるようにCookie経由でのデータベース情報の受け渡しをしなければ良いのです。他に一般的な方法があります。

Webシステムの開発では「セキュリティを確保する基本に忠実」に実装することが一番です。皆が使っている実績のある方法での実装を厳守することです。多くの利用者がいることで、例え脆弱性が見つかっても、回避方法も多くの利用者で議論されます。

今回の新手の攻撃も、裏を返せばこのような攻撃をしなければならないほど、抜け道が少なくなってきていることの表れです。

IPAによる「安全なウェブサイトの作り方 改訂第3版」


(*)この記事の作成・投稿はEeePC 901-XのWindowsXPとFirefox3で行いました。

☆中小企業のIT活用に関する、ご質問・ご相談はお気軽にどうぞ!

OpenOffice.orgをダウンロード Mozilla Firefox ブラウザ無料ダウンロード Firefox meter なかのひと
コメント    この記事についてブログを書く
  • X
  • Facebookでシェアする
  • はてなブックマークに追加する
  • LINEでシェアする
« 無線暗号規格WEPはもはや暗号... | トップ | EeePC 901-Xとマクドナルドで... »
最新の画像もっと見る

コメントを投稿

ブログ作成者から承認されるまでコメントは反映されません。

情報セキュリティ」カテゴリの最新記事