データベース情報を狙うSQLインジェクション攻撃が急増─有力MSSPが警告
セキュアワークスによると、同社の顧客(金融機関や公益企業を含む約1,300社)が所有するデータベースに対する攻撃は、今年1〜3月の段階では1日当たり平均100〜200件程度にすぎなかったが、最近になって1日当たり8,000件近くに急増しているという。同社は侵入検知や電子メールのウイルス/スパム・フィルタリングなどのマネージド・セキュリティ・サービスを提供している。
セキュアワークスのCTO(最高技術責任者)ジョン・ラムジー氏は、検知した攻撃はロシアや中国、ブラジル、ハンガリー、韓国のコンピュータから行われており、「SQLインジェクション(注入)」と呼ばれる手法を利用していると説明する。
攻撃者は、まずGoogleの検索エンジンを使用して、アクティブ・コンテンツが含まれるフォーム(書式)、つまり、データベースに情報を転送するフォームを探し出す。多くのWebアプリケーションはフォーム内の情報の妥当性チェックを行わないため、攻撃者は不正なSQLコマンドを埋め込んでデータベースに実行させることができ、自動ツールを利用することで、データベースの特定のテーブル(表)や列の情報を収集することが可能になる。
次のステップは、さらに複雑なコードを使ったデータベース・サーバのセキュリティ侵害である。より広範なコントロールを可能とするプログラムが、インターネットからデータベース・サーバにダウンロードされたとしたら、その被害は計り知れないものとなる。
SQLインジェクション攻撃はもともとターゲットを絞ったものであるため、コンピュータ・ウイルスやワームのように次々と感染を広げるものとは異なり、これまではあまり注目されてこなかった。ラムジー氏によると、例えば、不動産の支払額計算などの単純なフォームがある1つのWebページを標的にして行われる場合もあるという。
「もはや、ワームの時代ではない。1つの組織を標的にして、特別に製造されたゼロデイ・エクスプロイトの時代に突入している」と、ラムジー氏は警鐘を鳴らす。
最近になって、各種のデータ漏洩・データ侵害事件が広く報じられるようになり、企業は自社のデータベースにどのような安全対策が講じられているかについて、より厳しい目を向けるようになってきている。
ビザ・インターナショナルとマスターカード・インターナショナルは、クレジッドカードを利用する販売業者が、SQLインジェクションのような攻撃への防御を強化するよう、データ・セキュリティ基準の変更作業に取り組んでいる。
世間の注目を集めた例としては、昨年、クレジットカード会社のために決済データを処理していた米カードシステムズ・ソリューションズのシステムからのクレジットカード・データが盗み出された事件がある。
このケースでは、SQLインジェクション攻撃によってインストールされたプログラムが、4日ごとにデータベースからクレジットカード・データをリモート・コンピュータへ転送していた。犯人は、約4,000万のクレジットカード番号の情報を入手したと見られており、実際に偽造カード作成に利用され、(カード発行銀行の報告によると)数百万ドルの不正購入が行われている。
(ジェレミー・カーク/IDG News Service ロンドン支局)
米セキュアワークス
http://www.secureworks.com/
提供:Computerworld.jp
