巷で話題となっている「SQLインジェクション」について、ネット上に公開されている情報を調べてみました。まず、なんでこんなに騒がれているのか知りたかったので、実際に被害のあった企業のリストを知りたい!、と思っていたのですが一番、わかりやすくかったのはWikipediaでした。
この記事の中で、実例というカテゴリーがあるのですが圧巻です。引用しますー。
# 2005年3月に発生した、クラブツーリズムのクレジットカード情報を含む個人情報漏洩。同年6月にクラブツーリズムを含む14社への不正アクセスの疑いで中国人留学生が逮捕された。
# 2005年5月に発生した、価格.comのWebサイト改ざんの手口は、公式には秘匿されているが、SQLインジェクションによるものであるという説がある。クラブツーリズム事件の犯人は価格.comへの不正アクセスも行っていた。
# 2005年6月に判明した、アデコの個人情報漏洩。クラブツーリズム事件と同一犯。
# 2005年8月に判明した、静岡新聞社アットエスの個人情報漏洩。クラブツーリズム事件と同一犯。
# 2005年11月に発生した、ワコールオンラインショップのクレジットカード情報を含む個人情報漏洩。
# 2005年11月に発生した、キッズオンラインのアカウント情報漏洩。
# 2006年1月に判明した、スカイソフトのクレジットカード情報を含む個人情報漏洩。スカイソフトは閉店へと追い込まれた。
# 2006年4月に発生した、るるぶのアカウント情報漏洩。
# 2006年6月に発生した、日本体育協会のWebサイト改ざん。
# 2007年7月に判明した、@SOLAショップのクレジットカード情報を含む個人情報漏洩。@SOLAショップは休業となり、2008年8月時点でも再開できていない。
# 2008年3月に発生した、トレンドマイクロ、@nifty、クリエイティブメディアのWebサイト改ざん。
# 2008年3月に発生した、サウンドハウスのクレジットカード情報を含む個人情報漏洩。過去に設置された不正プログラムを経由して不正アクセスが行われた疑いがある。
# 2008年4月に発生した、カービューのWebサイト改ざん。
# 2008年5月に発生した、アイドラッグストアー、アイビューティーストアーのクレジットカード情報を含む個人情報漏洩。
# 2008年5月に発生した、富士山マガジンサービスのWebサイト改ざん。
# 2008年6月に発生した、アイリスプラザのクレジットカード情報漏洩。
# 2008年7月に判明した、ナチュラムのクレジットカード情報を含む個人情報漏洩。過去に設置された不正プログラムを経由して不正アクセスが行われた疑いがある。
# 2008年7月に発生した、米国向けプレイステーションのWebサイト改ざん。
マジで猛威を振るってますねー。これらの企業の技術者の人たち、本当にかわいそう(泣)
このような事態を受けて、情報処理推進機構は2008年5月に
情報処理推進機構:情報セキュリティ:脆弱性対策:SQLインジェクション攻撃に関する注意喚起
という注意喚起を行っています。そして、WEBサーバのアクセスログを用いてSQLインジェクションの脆弱性を検知するツールを公開しています。
情報処理推進機構:情報セキュリティ:脆弱性対策:ウェブサイトの脆弱性検出ツール
対応するWEBサーバのログは、
# IIS5.0/6.0のW3C拡張ログファイルタイプ
# Apache HTTP Server1.3系/2.0系/2.2系のcommonタイプ
ということですので、興味ある方はぜひー。
ちなみに、そもそもSQLインジェクションってどういう仕組みなのかについては以下の記事に掲載されてます。
サイト脆弱性をチェックしよう!--第6回:SQLインジェクションの検査方法:スペシャル - ZDNet Japan
ハッカーの金鉱脈「SQLインジェクション」の正体:ITpro
WEBサーバーを運営している技術者の方々は、これらの情報をしっておかないと大変なことになりそうです。
0 コメント:
コメントを投稿