【Column】SQLインジェクションから大切な情報を守るソリューションとは

甚大な被害をまねく新たな脅威　SQLインジェクション

　今年に入ってから「SQLインジェクション」による被害が相次いでいる。SQLインジェクションとは、Webアプリケーションのデータベース言語であるSQLを不正に操作する攻撃のこと。この攻撃により、Webサーバー上のコンテンツの不正改ざんや、改ざんされたコンテンツを閲覧したユーザーがマルウェアに感染するなど、二次被害を生んでいる。またデータベースが不正に参照された結果、情報漏えい事故が発生するケースもあり、甚大な被害を引き起こしている。

　これらの攻撃の対象となっているのは、有名企業だけではない。中小企業やSOHO、個人のサイトでも被害が出始めている。これまでに数十万ページ以上が、SQLインジェクションの影響を受けているという報告もあり、この新しい脅威に対する注意喚起を行っている組織・団体が増えてきている。

　とくに今年3月以降、被害事例が急増しているが、これは、SQLインジェクションの手法が公開されていることに起因していると考えられる。Googleのような検索サイトを利用し、ぜい弱性がありそうなWebサイトを探索してSQLインジェクションを実行するボットも見つかっている。今後、SQLインジェクションによる攻撃はさらに激しくなることだろう。

　独立行政法人 情報処理推進機構では、急増するSQLインジェクションへの対策を公開しているほか、SQLインジェクションに対するぜい弱性の検出を簡易に行うツール「iLogScanner」を公開している。このツールを使えば、WebサーバーのアクセスログからSQLインジェクションで用いられる文字列を検出し、どれだけの攻撃を受けているのか、その攻撃が成功したかどうかを簡易解析することができる。

　増加の一途を辿るSQLインジェクションなどの被害を抑える対策として、Webアプリケーションへの対応が考えられるが、実際にやってみると膨大な工数がかかる。本来のWebアプリケーションの機能向上に費やされる時間も、防衛のために使わざるを得ないという状況になってしまう。また、中堅・中小企業においては、専任の管理者を配置することも難しく、エンタープライズ市場で実績を積んでいる高価なネットワークセキュリティソリューションを導入することも困難だ。エンタープライズで求められてきたセキュリティニーズは、中堅・中小企業においても顕著となり始めている。この新しい市場をターゲットとし、いち早くソリューションを提供し始めているベンダーもある。例えば、Webアプリケーションファイアウォール（WAF）などはその好例だろう。

企業規模を問わず導入可能な検疫やWAFに注目が集まる

　WAFは、SQLインジェクションなどに対抗する有効なソリューションだが、高価であるため、一部の大企業のみで利用されてきた。しかし最近では、中堅・中小規模でも利用できる価格帯の製品が登場し、新たなビジネスチャンスを生み出している。

　このWAF同様に注目されているのが、「検疫」だ。「検疫」は、ネットワーク構成の変更などが必要とされるため、導入・運用が難しいソリューションだと言われてきた。しかし最近では、既存の環境を生かしながら、導入・運用できる「検疫」も登場しており、市場のすそ野を広げている。

　Windows Server 2008では、ネットワークアクセス保護機能として「NAP」が搭載されるなど、OS側で検疫がサポートされ始めている。ネットワークアクセスを制限してセキュリティを向上させようという動きは活発化し、手法も確立されている。ユーザー企業の環境にあった「検疫」を選択できる環境が整ってきているのだ。

　新しい脅威は日々増え続け、その対策に頭を抱える企業は多い。その一方で、ベンダーはそれらの課題を解決するソリューションを企画・開発し、新たな製品を提供し続けている。自社の規模にあった製品を適切に導入することで、これらの脅威から大切な会社を守ることができるだろう。

[次のページ]