SQLインジェクションが急増

SQLインジェクションが急増
SQLインジェクションが急増
会社のサーバーがインターネット接続されているのなら、この瞬間、サーバーが攻撃されているかもしれません。

SQLインジェクションと呼ばれる攻撃が急増しています。

多い月で5,000件ほどだった攻撃が2007年になると多い月には40,000件近くに達しました。2008年も傾向は変わらず、3月頃から日本をターゲットとしたSQLインジェクションが増えています。JPCERT/CCからは不正コードを仕掛けられたページ数が数十万に達していると発表されています。
→ SQLインジェクション攻撃に関する注意喚起 【IPA】

「SQL」とはデータベースを扱うための言語で、「インジェクション」は注入という意味です。ウェブサイトで商品を買ったり、アンケートに回答することができますが、裏側でデータベースが動いています。

SQLインジェクションはURLやウェブページのテキスト入力欄に想定外のデータを送り込むことで、不正な命令のSQLにしてしまい、データベースから情報を盗んだり、改ざんしたりすることです。2005年5月に発生した「価格.com」のウェブサイト改ざん事件は、このSQLインジェクションによるものです。
→ 不正アクセス事件が続々と 「価格.com」がねらわれた!

ふつうの中小企業がやられています

SQLインジェクションによる攻撃は大企業、中小企業をとわず行われています。

テレビ、新聞の報道では、ニュースになりやすい大企業が取り上げられますので、大企業ばかり攻撃されている印象ですが、決してそうではありません。ただし、マカフィー社(アメリカ)によると、中小企業の44%はサイバー攻撃は大企業のみの問題と考えており、52%は知名度が低いためにサイバー攻撃のターゲットになることはないと信じている調査結果が出ています。

狙われるのがパッケージを使わず、自社アプリケーションで運用しているウェブサイトです。パッケージはセキュリティホールがあると色々な企業からのフィードバックがあり、パッケージメーカーによるセキュリティホールへの対応が早くなりますが、自社アプリケーションの場合は自社で気づかない限り、穴が開いたままになり、そこにつけこみます。