IPA、“SQLインジェクション脆弱性”の検出ツール「iLogScanner」を公開
エンタープライズ
その他
/
IPAによれば、データベースへのSQL(Structured Query Language)文の問題点(脆弱性)を悪用し、攻撃によってデータベースの不正利用をまねく、いわゆる「SQLインジェクション攻撃」がここ数年急増しており、その対策を促進するため、本ツールを公開したとのこと。
「iLogScanner」は、IPAのウェブサイト(iLogScanner提供サイト)からダウンロードし、利用者のウェブブラウザ上で実行するJavaアプレット形式のプログラムとなっている。ウェブサーバのアクセスログの中からウェブサイトの攻撃によく用いられる文字列を検出し、ウェブサイトが日頃どれだけの攻撃を受けているか、また、ウェブサイトの脆弱性により攻撃が成功した可能性があるかなど、痕跡の有無を解析結果レポートとして出力できる。現在、検出できるものはSQLインジェクションのみだが、今後、クロスサイト・スクリプティングやOSコマンド・インジェクションなどにも、順次対応を拡大していく予定。
なお、iLogScanner自体はあくまで検出の機能しか持たないため、SQLインジェクション攻撃が検出された場合、特に攻撃が成功した可能性が検出された場合は、ウェブサイトの開発者やセキュリティベンダーに相談することを推奨するとのこと。また実際の攻撃による脆弱性検査も行っていないため、攻撃が検出されなかった場合でも、安心せずにウェブサイトの脆弱性検査を行うことを推奨するとのこと。
《冨岡晶》
特集
この記事の写真
/
関連ニュース
-
約3割の組織でWindows 98、Meがまだ存続?——IPA情報セキュリティ調査
ブロードバンド -
2006年度の情報処理産業は売上2.5%増、大企業で増加の反面、中小企業では減少〜IPA調べ
エンタープライズ -
IPA、“新時代の中小ITベンチャー”を発掘〜「2008年度中小企業経営革新ベンチャー支援事業」公募開始
エンタープライズ -
JPCERT/CC、SQLインジェクションによるWebサイト改ざんを警告
エンタープライズ -
ぽんこつ、ウェブページに直接メモを貼れるブラウザ・オーバーレイ技術「Nayuta」サービスの試験運営を開始
ブロードバンド -
IPA、「安全なウェブサイトの作り方」(改訂第3版)を公開〜SQLインジェクションなどの脆弱性事例を追加
エンタープライズ -
IPA、ウェブサイト運営者のための「脆弱性対応ガイド」PDFファイルなどを公開
エンタープライズ -
IPA、TCP/IP関連の“脆弱性検証ツール”を開発〜デベロッパ向けに無償貸出
エンタープライズ -
IPA、2008年1月のウイルス・不正アクセス届出情報のまとめを発表〜ウイルスは減少傾向
エンタープライズ -
組み込み機器のネットワーク化がセキュリティリスクを高める?〜IPA調査報告
エンタープライズ -
ヤマハ製ルーターに脆弱性、ファームウェアの更新を〜IPA報告
エンタープライズ