SQLを文法解析して不正アクセスを防ぐ～Oracle Security Forum Report

SQLインジェクションが脅威でありつづける理由

　Database Firewallは、米国で今年2月に発表された新製品で、SQLに特化したファイアーウォールともいうべき特徴を持つ。

日本オラクル　

シニアエンジニア CISSP

西村克也氏

　西村氏はまず、近年のSQLインジェクションの動向として、2006年頃から被害がではじめた比較的古い攻撃でありながら、引き続き最も多い攻撃の1つであるとし、2010年は「ガンブラー」とともにインターネットの二大脅威であったことを紹介。

 実際、LACの調査によると、2010年上半期に確認されたウェブ系攻撃103件のうちSQLインジェクションは35件と、クロスサイトスクリプティングの38件につぐシェアを占めている。「クレジットカード情報などの盗難事故は継続しており、情報を盗むだけでなく、ウイルス頒布や受動的攻撃といったほかの攻撃の足がかりとして使われることも多い」という。

　その一方で、IPAの調査資料「IPA Web Application Firewall読本」によると、SQLインジェクション対策は遅れがちであり、脆弱性を発見したとしても、修正までに1カ月以上の時間を要しているという。その原因としては、「すでに開発者がいない、仕様が分からない」などの技術的な問題、「膨大に増えるWebサイトをすべてチェックできない」などの運用的な問題、「Webサイトの長期停止による機会損失や膨らみ続ける改修費用」などのコスト的な問題があるようだ。

　また、内部や外部からの不正アクセスを早期に検知するという点では、ログをとることが重要だが、実際には活用が進んでいないという現実もある。その理由としては、そもそもデータベースの監査ログの機能を知らない、データベースパフォーマンスへの影響を懸念している、どのログを取得すべきか監査条件が絞り込めない、ログを保存する領域が膨大になる、ログをモニタリングしていないなどが挙げられるという。

　こうした背景のもと、SQLインジェクションは、今日もなお、インターネット上の脅威でありつづけている。そこで、データベース側でSQLインジェクションに対抗する手段として、注目してほしいのがDatabase Firewallだという。