IPA、SQLインジェクション攻撃についてあらためて注意呼びかけ

　独立行政法人情報処理推進機構（略称：IPA、理事長：西垣浩司）は15日に、「SQLインジェクション攻撃に関する注意喚起」と題する文書を公表し、あらためて注意を呼びかけた。

　SQLインジェクション攻撃とは、組み立て方に問題のあるSQL（Structured Query Language）文を悪用することで、細工されたSQL文をデータベースへの問い合わせの一部として埋め込んで（Injection）しまう攻撃。データベースに蓄積された情報の漏えい・改ざん、不正操作などの脅威がある。

　同文書では、近年のSQLインジェクション攻撃の急増に対し、ウェブサイト管理者等への注意を喚起するとともに、ウェブサーバのアクセスログ調査およびウェブサイトの脆弱性検査等の対策実施を推奨している。
なお、IPAでは、SQLインジェクション攻撃への対策を、「安全なウェブサイトの作り方」で公開している。また、SQLインジェクション脆弱性の検出を簡易に行うツール「iLogScanner」を4月18日に公開している。

　SQLインジェクション攻撃については、有限責任中間法人 JPCERT コーディネーションセンター（JPCERT/CC）や内外の情報セキュリティ対策企業がウェブサイトの改ざんや不正コードを仕掛けられたページ数が数十万に達している旨の注意喚起を、2008年3月頃より相次いで発表している。また、5月6日には、SQLインジェクション攻撃を行う悪質プログラムが確認された旨の注意喚起を米国SANS Instituteが実施している。なおIPAに届けられたウェブサイト（ウェブアプリケーション）の脆弱性の約3割は、SQLインジェクションの脆弱性だという。

　たとえば、IPAで公開しているオープンソース情報データベース「OSS iPedia」の2008年1月〜4月のアクセスログを「iLogScanner」で解析したところ、合計44件のSQLインジェクション攻撃を検出した。攻撃に成功した件数は0件だったたが、4月は29件のSQLインジェクション攻撃があり、1〜3月に比べて増加しているとのこと。