 |
 |
|
|
| 最新ニュース |
|
|
|
|
|
|
||||||||||
|
||||||||||
|
||||||||||
|
IPA、SQLインジェクション攻撃検知ツールを無償公開 |
||||||||||
|
||||||||||
|
|
||||||||||
|
||||||||||
|
||||||||||
|
||||||||||
|
||||||||||
|
独立行政法人情報処理推進機構(IPA)は4月18日、SQLインジェクション攻撃の痕跡を検出するツール「iLogScanner」を提供すると発表した。これを利用すると、Webサーバーのアクセスログの中からWebサイトへの攻撃を解析して、SQLインジェクション攻撃を受けた痕跡を検出できるという。このツールは、同団体のWebサイトから無償でダウンロードできる。 このツールはJavaアプレット形式で、Webブラウザから利用可能。利用者が用意したWebサーバーのアクセスログを解析して、Webサイトの攻撃によく用いられる文字列を抽出し、そのWebサイトがどれだけの攻撃を受けているかを分析できる。さらに、脆弱性を突かれて攻撃が成功した可能性があるか、という点についても検出可能という。 検知を行えるのは現在SQLインジェクションのみであるものの、今後はクロスサイトスクリプティング(XSS)や、OSコマンドインジェクションなどにも順次対応していく予定。また今後の脆弱性対策に活用するため、脆弱性検出状況を収集する機能などの拡張も行うとしている。 なおIPAでは、「SQLインジェクション攻撃が検出された場合、特に攻撃が成功した可能性が検出した場合は、Webサイトの開発者やセキュリティベンダーに相談されることを推奨する」としている。またiLogScannerは簡易ツールであるため、攻撃が検出されない場合でも安心せず、Webサイトの脆弱性検査を行うことも推奨した。 ■ URL 独立行政法人情報処理推進機構 http://www.ipa.go.jp/ ニュースリリース http://www.ipa.go.jp/security/vuln/iLogScanner.html
( 石井 一志 )
|
