知って得するセキュリティのはなし その131
Webサイトへの「SQLインジェクション攻撃」、メールアドレス約128,000件流出
1.このニュースをざっくり言うと
- 9月24日(日本時間)、翻訳ソフト等の開発・販売を行うロゴヴィスタ社より、同社Webサイトが不正アクセスを受け、ユーザーのメールアドレスが流出したと発表されました。
- 被害を受けたとされるのは、同社へのユーザー登録・問合せフォームの利用および直販サイトからの購入を行ったユーザーのメールアドレス約128,000件とされています(名前・住所およびクレジットカード情報等は影響を受けていないとのことです)。
- 同24日にユーザー宛に迷惑メールが届いたとの問合せを受けて調査を行ったところ、Webサイトに対するSQLインジェクション攻撃により、メールアドレスが奪取されたとされています。
2.執筆者からの所感等
- WebアプリケーションにSQLインジェクション攻撃が可能になる脆弱性が存在する場合、内部のデータベースサーバーにアクセスされ、データを奪取されるのみならず、改ざん・消去・破壊等も行われる恐れがあります。
- Webサイト・ECサイトの構築を容易にする著名なCMS(コンテンツ管理システム)等においても、SQLインジェクションあるいはクロスサイトスクリプティングといった、いわば古典的な脆弱性が確認され、悪用による実害が発生するケースは近年においても珍しくなく、利用においては常に最新バージョンに保つ管理体制を確実にとることが重要です。
- 加えて、脆弱性を狙った攻撃と推測されるアクセスパターンを検知・遮断するWAF(Webアプリケーションファイアウォール)や、外部へのデータの流出を検知する出口対策のためのソリューションを設置することにより、万が一未修正・未発見のいわゆる「ゼロデイ脆弱性」を突かれた場合にも攻撃や情報漏洩の成功率を抑制することに繋がるでしょう。