「インターネット白書2008」によると、約1割の企業でWebサイトにCMSを導入しており、ECサイトでは約4割の企業がBtoB、BtoCに取り組んでいる状況であるという。 そのほかにもデータベースを利用したサービスは多く、積極的にデータを活用しようとする企業においてはコンテンツやデータ管理にデータベースを利用するWebアプリケーションは不可欠となっている。
このような中でWebサイトへの攻撃については近年、脆弱性を持つサイトを狙った不正アクセスの被害が多発している。データベースと連携しているWebサイトでは、利用者からの入力情報を基にデータベースにアクセスし、動的にページを表示している。この時、Webアプリケーションに SQL インジェクションの脆弱性があると、攻撃者から不正な SQL 文を入れられてしまい、データベース内の情報が不正に操作されてしまう。SQLインジェクション攻撃により、個人情報の漏洩やWebサイトの改竄、不正ログインや踏み台として悪用されるなど、様々な被害が発生する可能性がある。 独立行政法人 情報処理推進機構(IPA)セキュリティセンターでは7月2日、2008年度上半期のコンピュータ不正アクセスの届出状況を公表した。 資料によると、Webアプリケーションの脆弱性をつく攻撃やSSHで使用するポートへの攻撃で進入される等が最近の傾向として挙げられている。特にSQLインジェクションによる不正アクセスが多発しており、同センターでも注意を呼びかけている。
被害を未然に防ぐには、サイトを構築する時にSQL文の雛形を用意して後から実際の値を割り当てるバインド機構という仕組みを使用することが有効である。これは根本的にSQL文が注入される原因を作らない方法で工数も少ないが、設計段階で対策をおこなう必要がある。バインド機構が何らかの理由で利用できない際には、SQL 文で利用する変数についてプログラム側でエスケープ処理をおこなう。この場合は全ての変数に対して処理を行なうため、ひとつでも漏れが生じると攻撃される危険が残る。 セキュリティの専門家によると安全性についての意識が希薄なWeb制作者も少なくないとの指摘もある。発注側からサイトの安全性について求められても万全な対応ができるように、制作者は設計段階から安全性について意識して取り組むことが必要である。
[関連セミナー]
Webセキュリティの現状と対策 --5年後10年後まで安心なサイト設計とは--
・なぜ、御社のWebサイトが攻撃されるのか。そして、守るためには何をすればよいのか。
・安全な Web サイト構築のためには(技術的対策)
(2008年7月)
2008/07/07 00:00:00