【IT/セキュリティー】サイトに登録の個人情報が標的―SQLインジェクションが急増 中国からの攻撃が大半 [11/16]
1 :言葉は葉っぱφ ★:
サイトに登録の個人情報が標的――SQLインジェクションが急増
サイトの欠陥を突き、登録情報を盗難・改ざんする「SQLインジェクション」と呼ばれるネット侵入が急増している。
中国からの攻撃が大半で、侵入用のソフトが出回っていることが被害拡大に拍車をかける。サイト運営者は、セ
キュリティー態勢の一層の強化を求められている。
難しい完全な防御
「学費を稼ぐため1人でやった」。価格比較サイト「価格・com」など14社から約52万件の個人情報を盗んだとして
昨年7月に逮捕された中国人留学生(27)は、犯行理由をこう語った。このとき使われた手口がSQLインジェクシ
ョンである。
SQL(Structured Query Language)とは、データベースを操作するためのコンピューター言語。多くのサイトでは、
ウェブサーバーからデータベースサーバーに情報を取りにいくシステムを採用している。攻撃者は、データベース
サーバーへの指示に外部操作が可能になるSQLコマンド(命令文)を潜り込ませることで、データベースの情報を
直接削除したり、盗んだりする。
セキュリティー監視サービス会社大手のラック(東京都)によるとSQLインジェクションによる攻撃が確認されたの
は2000年ごろ。それが、昨年後半から攻撃件数が急に増え始め、1つの攻撃元から100〜1000件、多いときに
は数千件、数万件もの攻撃がサイトに向けられるようになった。今年の件数は、前年の約3倍という急増ぶりだ。
SQLインジェクションの被害に遭うと、サイトからは膨大な顧客情報が一挙に漏れてしまう。ちなみに、この犯人が
手に入れたのは住所、氏名、メールアドレス、クレジットカード番号など。ネットに広告を出し、メールアドレスは1件
当たり1円未満〜2円でスパム(迷惑)メール送信業者に売り渡していた。
サイト側はどんな対策を取ればいいのか?
「完全に防御するのは、非常に難しいです」と語るのは、同社SNS事業本部の川口洋さん。
「サイトのシステムが次第に巨大になり、それにかかわっている技術者も多くなるとプログラムの欠陥をチェックする
のは大変な作業です」
セキュリティー態勢が脆弱なサイトは、グーグルなどの検索エンジンにキーワードを入れるだけで簡単に探し出せ、
標的にされるという。中小サイトだから狙われないと思い込むのは、非常に危険なのだ。
攻撃用ソフト出回る
驚くべきことに、同社が攻撃元のIPアドレスを分析したところ、8割を中国が占めていた。04年の後半あたりから、中国
語に翻訳された攻撃用ソフト「SQL注入工具」などが出回り始めており、ほとんどがこのソフトを使っての攻撃と見られ
る。掲示板によっては詳しい使い方が掲載され、攻撃先の日本企業が指示してあるという。
「被害の多さに悲鳴を上げ、中国から自社サイトへアクセスできないよう検討している企業もあります」(川口さん)
SQLインジェクションによる攻撃は、セキュリティーに関するさまざまな問題を浮き彫りにした。
標的になるのは企業サイトだが、最終的な被害者は情報が流出した個人の利用者だ。いくらスパイウエアや不正アクセ
スを警戒したとしても、投網をかけるようにサイトから登録情報の一切合切を盗まれたら、もはや防ぎようがない。クレジッ
トカードを不正に使われてから初めて、カードの情報を盗まれたことに気づくケースもある。
また仮想商店街でサイト主宰者がシステムを管理し、加盟店側がデータを管理している場合、情報が漏れた際の責任の
所在は明らかでない。
サイト側が監視・防御体制を整えようにも、中小サイトでは高額の負担がネックになっている。
SQLインジェクションによる攻撃は今後も続くと見られ、サイト側はセキュリティー態勢の見直し、強化を求められている。
(林 宗治・編集部/2006年10月24日発売「YOMIURI PC」12月号から)
(2006年11月16日 YOMIURI PC)
ソース:読売新聞
http://www.yomiuri.co.jp/net/frompc/20061115nt03.htm
|
|
|
2 :<丶`∀´>(´・ω・`)(`ハ´ )さん:2006/11/17(金) 15:06:56 ID:peEDc4b3
2誰?
3 :<丶`∀´>(´・ω・`)(`ハ´ )さん:2006/11/17(金) 15:07:29 ID:e/9PPT0r
ニダ
4 :<丶`∀´>(´・ω・`)(`ハ´ )さん:2006/11/17(金) 15:08:53 ID:3krZ0NIM
中国との回線を切断でいいよ
5 :<丶`∀´>(´・ω・`)(`ハ´ )さん:2006/11/17(金) 15:09:14 ID:ZrVI5d4C
通名だから問題ないニダ
6 :蘇芳 ◆2z2USSSUOU :2006/11/17(金) 15:09:29 ID:8KwMjFkq
中華と半島下からのアタックが鬱陶しいんですが
ping飛ばして来るんじゃねーよまったく
ping飛ばして来るんじゃねーよまったく
7 :(´ヘ` ) <`д´;≡;`ハ´) ( ´-`)y-~:2006/11/17(金) 15:10:36 ID:Hp5Es53o
>驚くべきことに、同社が攻撃元のIPアドレスを分析したところ、8割を中国が占めていた。
驚くことじゃないだろ。
驚くことじゃないだろ。
8 :<丶`∀´>(´・ω・`)(`ハ´ )さん:2006/11/17(金) 15:11:06 ID:nvKr7N5w
しかしこの国はwww
個人も国家も外国へ総攻撃だな
個人も国家も外国へ総攻撃だな
9 :<丶`∀´>(´・ω・`)(`ハ´ )さん:2006/11/17(金) 15:14:24 ID:MO7wnxH4
SQLインジェクションなんてちゃんと処理してれば
問題なんて出ない。
納期を急いだ・開発費をケチったつけが回ってるだけだ
問題なんて出ない。
納期を急いだ・開発費をケチったつけが回ってるだけだ
10 :<丶`∀´>(´・ω・`)(`ハ´ )さん:2006/11/17(金) 15:20:54 ID:HtCuwyWn
売ったのがメルアドだけなら、ずいぶん良心的な中国人だが・・・
11 :(´ヘ` ) <`д´;≡;`ハ´) ( ´-`)y-~:2006/11/17(金) 15:21:42 ID:Hp5Es53o
>>10
メルアドだけじゃ、売っても金にならないんじゃない?
メルアドだけじゃ、売っても金にならないんじゃない?
12 :<丶`∀´>(´・ω・`)(`ハ´ )さん:2006/11/17(金) 15:31:12 ID:aqJrtNo8
>9
結論出すの早すぎwww
結論出すの早すぎwww
13 :<丶`∀´>(´・ω・`)(`ハ´ )さん:2006/11/17(金) 15:44:21 ID:9GjFjzM1
中国人を見たら犯罪者と思え
14 :<丶`∀´>(´・ω・`)(`ハ´ )さん:2006/11/17(金) 15:52:42 ID:dmJ0unXi
時にはなるお^^
15 :<丶`∀´>(´・ω・`)(`ハ´ )さん:2006/11/17(金) 15:53:10 ID:EkRPZxb0
中国って一意のネットワークだから、フィルタしちゃうのがいいよな
これって、核兵器より強力な経済封鎖になると思うよ
これって、核兵器より強力な経済封鎖になると思うよ
16 :<丶`∀´>(´・ω・`)(`ハ´ )さん:2006/11/17(金) 15:53:27 ID:AjRtZ+ds
17 :<丶`∀´>(´・ω・`)(`ハ´ )さん:2006/11/17(金) 15:54:36 ID:An7KDklQ
>また仮想商店街でサイト主宰者がシステムを管理し、加盟店側がデータを管理している場合、情報が漏れた際の責任の
>所在は明らかでない。
楽天は使うなということだね。
>所在は明らかでない。
楽天は使うなということだね。
18 :<丶`∀´>(´・ω・`)(`ハ´ )さん:2006/11/17(金) 15:56:00 ID:qHEqHO1+
異論・反論・インジェクション
19 :<丶`∀´>(´・ω・`)(`ハ´ )さん:2006/11/17(金) 15:58:27 ID:Lx1SDSRj
20 :<丶`∀´>(´・ω・`)(`ハ´ )さん:2006/11/17(金) 15:59:02 ID:RnT12DK3
最終的に一個のテキストになってコードとデータがごちゃまぜだからねぇ.
しかも外部由来のデータが.
SQL自体が根絶されない限り問題はなくなるまいよ.
しかも外部由来のデータが.
SQL自体が根絶されない限り問題はなくなるまいよ.
21 :回路携帯 ◆llG8dm8Aew :2006/11/17(金) 16:12:27 ID:1M1yk5ff
通す方が無能だな。
22 :<丶`∀´>(´・ω・`)(`ハ´ )さん:2006/11/17(金) 16:15:42 ID:YFFraIcx
中韓切れば激減する
23 :<丶`∀´>(´・ω・`)(`ハ´ )さん:2006/11/17(金) 16:35:26 ID:z57a/KWt
中国人是黒道、
24 :<丶`∀´>(´・ω・`)(`ハ´ )さん:2006/11/17(金) 16:39:32 ID:hXO1giIA
すでにうちは中韓からのアクセスを遮断した。
25 :<丶`∀´>(´・ω・`)(`ハ´ )さん:2006/11/17(金) 16:44:56 ID:MJvIzzAJ
>>16
また妄想っすか?ww
また妄想っすか?ww
26 :<丶`∀´>(´・ω・`)(`ハ´ )さん:2006/11/17(金) 16:50:42 ID:NXCiB1Kn
27 :<丶`∀´>(´・ω・`)(`ハ´ )さん:2006/11/17(金) 16:56:44 ID:bVQt+cKc
SQLを使わないように。いまさら無理だけど
28 :<丶`∀´>(´・ω・`)(`ハ´ )さん:2006/11/17(金) 16:59:49 ID:qHEqHO1+
SQL水着
29 :<丶`∀´>(´・ω・`)(`ハ´ )さん:2006/11/17(金) 17:59:04 ID:RnT12DK3
>>26
安全にする手段があったところで解決にはならない.
デフォルトが危険なんだから,
世の中からSQL Injectionをなくすことはもはやムリ.
100年ぐらいたてばSQLが消滅してくれる可能性も多少はあるかもだが……
安全にする手段があったところで解決にはならない.
デフォルトが危険なんだから,
世の中からSQL Injectionをなくすことはもはやムリ.
100年ぐらいたてばSQLが消滅してくれる可能性も多少はあるかもだが……
30 :<丶`∀´>(´・ω・`)(`ハ´ )さん:2006/11/17(金) 18:11:06 ID:2aHUwF8Y
31 :<丶`∀´>(´・ω・`)(`ハ´ )さん:2006/11/17(金) 18:15:25 ID:r/Sr4fF/
>>29
中国人を排除すればオケ
中国人を排除すればオケ
32 :<丶`∀´>(´・ω・`)(`ハ´ )さん:2006/11/17(金) 18:19:31 ID:Q9kLql/x
SELECT COUNT(*) FROM 2chネラー
WHERE JOB = 'NEET';
タイムアウトしました。
WHERE JOB = 'NEET';
タイムアウトしました。
33 :<丶`∀´>(´・ω・`)(`ハ´ )さん:2006/11/17(金) 18:23:20 ID:rEdeyEbJ
中朝方面は管理者の設定スキルが低いから、ネームサーバから逆引きできなくて、判別が手間なのが困るよ。
34 :<丶`∀´>(´・ω・`)(`ハ´ )さん:2006/11/17(金) 18:24:42 ID:NXCiB1Kn
35 :<丶`∀´>(´・ω・`)(`ハ´ )さん:2006/11/17(金) 18:45:28 ID:Yhd/7Y8C
36 :<丶`∀´>(´・ω・`)(`ハ´ )さん:2006/11/17(金) 18:50:53 ID:jbZ3LGpq
37 :<丶`∀´>(´・ω・`)(`ハ´ )さん:2006/11/17(金) 18:52:22 ID:JD+HnP+R
38 :<丶`∀´>(´・ω・`)(`ハ´ )さん:2006/11/17(金) 18:55:00 ID:Bm6tSh/d
>>1
SELECT * FROM DUAL
SELECT * FROM DUAL
39 :<丶`∀´>(´・ω・`)(`ハ´ )さん:2006/11/17(金) 21:03:13 ID:ei+krhBd
あれ?
コッド博士他界してん?
コッド博士他界してん?
40 :<丶`∀´>(´・ω・`)(`ハ´ )さん:2006/11/18(土) 10:56:53 ID:y6FwN+U8
Select * from The_Koreas where hwabyung=no
41 :<丶`∀´>(´・ω・`)(`ハ´ )さん:2006/11/18(土) 11:05:28 ID:psLhOkCC
パンチカードに写して郵送だなw
42 :<丶`∀´>(´・ω・`)(`ハ´ )さん:2006/11/21(火) 08:38:18 ID:anfx2/0X
そもそもなんでインターネットからデータベースへアクセスできるん?
当然cgiからはできるんだろうけど、それってhttpサーバー上で
任意プログラムが実行されてしまっているってことだよね。
よくわからん
当然cgiからはできるんだろうけど、それってhttpサーバー上で
任意プログラムが実行されてしまっているってことだよね。
よくわからん
43 :<丶`∀´>(´・ω・`)(`ハ´ )さん:2006/11/21(火) 17:03:39 ID:WG4wGtiA
例えば会員登録画面などで、入力した値をWeb/APサーバ上のアプリが受け取ってDBに登録するイメージ。
アプリがクソだと、住所などの入力欄にSQLの続きをいれると、SQL文としてDB上で実行してしまう。
通常はバインド変数の使用や入力値チェック、エスケープ処理などで回避されている。
あくまでもアプリ開発者が埋め込んだ不具合。
これをSQL言語のせいにするのはおかどちがい。
アプリがクソだと、住所などの入力欄にSQLの続きをいれると、SQL文としてDB上で実行してしまう。
通常はバインド変数の使用や入力値チェック、エスケープ処理などで回避されている。
あくまでもアプリ開発者が埋め込んだ不具合。
これをSQL言語のせいにするのはおかどちがい。
44 :<丶`∀´>(´・ω・`)(`ハ´ )さん: