2009年01月14日

2008年12月の緊急注意喚起の続報～SQLインジェクション攻撃の変化について

2008年12月22日の緊急注意喚起の続報です。SQLインジェクション攻撃でデータベースに埋め込む文字列に変化が現れました。以下の文字列をデータベースに挿入する攻撃が行われています。

または

現在も行われている攻撃の多くはscriptやiframeタグを埋め込むものですが、この攻撃はHTMLとして解釈不可能な文字列を埋め込もうとしています。この文字列が埋め込まれた場合、HTMLとして解釈されず、ホームページにそのまま表示されます。

この攻撃は以下のような可能性を想定していますが、いずれもその証拠となるデータは得られませんでした。最近、頻繁に悪用されている「cawjb.com」に関係があるのではないかと考えており、LACは現在も調査を続けています。

1. UPDATEコマンドの直前に変換して書き込む
2. この攻撃の後、別の攻撃によって、変換するコードを埋め込み、コードを実行する
3. 特定のブラウザ環境でのみ動作させる
4. 脆弱なサイトをマーキングする

• 参考：2008年12月22日の緊急注意喚起
• 参考：DBSLレポート「緊急対応から見たWebサイト用データベースセキュリティ対策～継続するSQLインジェクションの脅威～」