セキュリティ情報

国内外から日本国内のWebサイトにSQLインジェクション脆弱性の存在報告

情報処理推進機構およびJPCERT/CCは3月15日、日本国内外から国内のWebサイトにSQLインジェクションの脆弱性が存在することが複数報告されていると発表した。

海外からオープンソースのSQLインジェクション脆弱性診断ツール「sqlmap」を使用し、国内のWebサイトで動作するWebアプリケーションを対象としたSQLインジェクションの脆弱性を検出しようとするアクセスが行われているという。この動きは、組織規模の大小を問わず、中小企業のWebサイトや個人のWebサイトに対しても行われているという。

SQLインジェクション脆弱性のあるWebアプリケーションは、攻撃を受けると不正侵入、悪意のあるコードの実行、情報漏洩、Webサイトの改ざんなどの影響を受ける危険がある。これらを防ぐためには、WebアプリケーションにSQLインジェクションの対策を行う必要がある。なお、「sqlmap」の検出はは通常の対策を行っていれば回避できるという。

(川原 龍人/びぎねっと)

[関連リンク]
JVNの記事