日本オラクルは9月28日、自社主催イベント「Oracle Security Forum ~今、何が起きているのか?変化する脅威に対応するセキュリティ~」を開催。同社のシニアエンジニアCISSP西村克也氏が、データベースのセキュリティをテーマに、最近のSQLインジェクションの動向と、SQLインジェクション攻撃を防ぐためのソリューションとして「Oracle Database Firewall」の機能や特徴についてデモを交えて紹介した。Database Firewallは、米国で今年2月に発表された新製品で、SQLに特化したファイアーウォールともいうべき特徴を持つ。
SQLインジェクションが脅威でありつづける理由
Database Firewallは、米国で今年2月に発表された新製品で、SQLに特化したファイアーウォールともいうべき特徴を持つ。

西村氏はまず、近年のSQLインジェクションの動向として、2006年頃から被害がではじめた比較的古い攻撃でありながら、引き続き最も多い攻撃の1つであるとし、2010年は「ガンブラー」とともにインターネットの二大脅威であったことを紹介。
実際、LACの調査によると、2010年上半期に確認されたウェブ系攻撃103件のうちSQLインジェクションは35件と、クロスサイトスクリプティングの38件につぐシェアを占めている。「クレジットカード情報などの盗難事故は継続しており、情報を盗むだけでなく、ウイルス頒布や受動的攻撃といったほかの攻撃の足がかりとして使われることも多い」という。
その一方で、IPAの調査資料「IPA Web Application Firewall読本」によると、SQLインジェクション対策は遅れがちであり、脆弱性を発見したとしても、修正までに1カ月以上の時間を要しているという。その原因としては、「すでに開発者がいない、仕様が分からない」などの技術的な問題、「膨大に増えるWebサイトをすべてチェックできない」などの運用的な問題、「Webサイトの長期停止による機会損失や膨らみ続ける改修費用」などのコスト的な問題があるようだ。
また、内部や外部からの不正アクセスを早期に検知するという点では、ログをとることが重要だが、実際には活用が進んでいないという現実もある。その理由としては、そもそもデータベースの監査ログの機能を知らない、データベースパフォーマンスへの影響を懸念している、どのログを取得すべきか監査条件が絞り込めない、ログを保存する領域が膨大になる、ログをモニタリングしていないなどが挙げられるという。
こうした背景のもと、SQLインジェクションは、今日もなお、インターネット上の脅威でありつづけている。そこで、データベース側でSQLインジェクションに対抗する手段として、注目してほしいのがDatabase Firewallだという。
この記事は参考になりましたか?
- Security Now連載記事一覧
-
- SQLを文法解析して不正アクセスを防ぐ~Oracle Security Forum Rep...
- root権限が奪取されたときどう情報を守るか? Oracle Security Forum...
- 歴史は繰り返す… いま、なぜマイレージプログラムが狙われるのか
- この記事の著者
-
齋藤公二(サイトウコウジ)
インサイト合同会社「月刊Computerwold」「CIO Magazine」(IDGジャパン)の記者、編集者などを経て、2011年11月インサイト合同会社設立。エンタープライズITを中心とした記事の執筆、編集のほか、OSSを利用した企業Webサイト、サービスサイトの制作を担当する。
※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です
この記事は参考になりましたか?
この記事をシェア