お問い合わせ
閉じる
SEARCH

検索

閉じる

企業や組織のセキュリティ事故発生時はこちら

緊急対応窓口:サイバー救急センター®

ご相談は予約不要、24時間対応

電話で相談する
0120-362-119
メールで相談する
サイバー救急センター®のメールアドレス
自分で調べる
「FalconNest」について
お問い合わせ

セキュリティ事故発生時はこちら

  1. ニュースリリース
  2. 2008年

データベースセキュリティ研究所の最新レポートを公開

~継続するSQLインジェクションの脅威を警告~

2008年8月 6日 | お知らせ

セキュリティソリューション分野でのリーディングカンパニー、株式会社ラック(本社:東京都港区、代表取締役社長:齋藤理、以下ラック)は、自社の研究機関であるサイバーリスク総合研究所のデータベースセキュリティ研究所が「情報漏えい緊急対応サービス」を通して得た情報を基に、Webアプリケーションやデータベースのセキュリティ対策状況および、その対策方法をまとめたレポートとして「緊急対応から見たWebサイト用データベースセキュリティ対策~継続するSQLインジェクションの脅威」を発表しました。

ラックのセキュリティオペレーションセンターJSOC(ジェイソック)が検知している統計結果によると、Webアプリケーションの脆弱性を悪用する「SQLインジェクション」の攻撃数が2008年3月以降に増加の一途を辿っています。本レポートでは、SQLインジェクションにより被害を受けているサイトでは、Webアプリケーションやデータベースのセキュリティ対策がほぼ手付かずの状態であることについて警告を発しています。

本レポートは、攻撃手口別のSQLインジェクション攻撃の解説、ログやデータベースから攻撃を確認する方法、無防備なデータベースのセキュリティ対策状況などを説明した後、最後にデータベースで実施すべき対策事項という、以下のような構成になっています。

まず、最近のSQLインジェクション攻撃手法は、攻撃を検知されにくくするために難読化されているという傾向にあり、それらの攻撃がWebページの改ざんだけでなく、個人情報やクレジットカード情報などの漏えいにつながる可能性が高く、その結果、サイト利用者が最終的な被害者になってしまうことを指摘しています。

次に、実際に被害を受けたサイトに共通するWebアプリケーションやデータベースの対策の不備を紹介しています。特にWebサイト用データベースにおける主な不備としては以下の3つが挙げられます。

不備1. アプリケーション用データベースユーザのアクセス権限の過剰
不備2. 重要情報が暗号化されていない
不備3. データベースアクセスログの未取得

最後にまとめとして、以上のようなWebサイト用データベースにおける現状を踏まえ、増加しているSQLインジェクション攻撃に備えるために実施すべき4つの対策を提示しています。

対策1. アプリケーション用データベースユーザの管理者権限の利用禁止
対策2. データベースにおける主要操作のロギング(ログの取得)
対策3. データベーストリガー機能によるSQLインジェクション攻撃の防御
対策4. エラーページのカスタマイズ

本リリースで発表したDBSLレポート「緊急対応から見たWebサイト用データベースセキュリティ対策~継続するSQLインジェクションの脅威」は、下記のWebページからご覧いただけます。ラックは、本レポートを通じて、インターネットにおけるサービスを提供する企業が、データベースのセキュリティ対策を考える一助になることを願っています。

ラックのデータベースセキュリティ研究所発行レポート

https://www.lac.co.jp/security/report/csl/index.html

以上

【株式会社ラックについて】

株式会社ラックは、いち早くネットワーク社会の到来を予測して1986年9月3日に設立されました。セキュリティソリューション分野でのリーディングカンパニーとして、「コンピュータセキュリティ研究所(CSL)」、「データベースセキュリティ研究所(DBSL)」、「セキュリティオペレーション研究所(SOL)」にてセキュリティに関する情報を日々、蓄積・分析・検証を行い、リモート監視センターJSOCにて顧客システムの24時間365日のセキュリティ監視・分析を行っています。また、常に先進のセキュリティテクノロジーを活用し、官公庁・企業・団体等のお客様にセキュリティソリューションサービスを提供しています。

【JSOC(Japan Security Operation Center) <ジェイソック>について】
JSOCは、ラックが運営する情報セキュリティに関するオペレーションセンターです。高度な分析システムや業界屈指の堅牢な設備を誇り、24時間365日運営され、高度な技術者を配置しています。ラックのセキュリティサービスの実績は、2000年の九州・沖縄サミットの運用・監視を皮切りに、日本の各分野でのトップ企業などを中心に、最高レベルのセキュリティが要求されるお客様にその最高品質のサービスを提供しています。

【報道機関からのお問い合わせ先】
株式会社ラック 事業推進統括部
マーケティング部
Tel. 03-5537-2615
E-mail: marketing@lac.co.jp

【お客さまからのお問い合わせ先】
以下のページからお問い合わせください。

https://www.lac.co.jp/contact.html

page top