NewsInsight

米インパーバが語るセキュリティ動向

SQLインジェクション攻撃、最近は「自動化してパワーアップ」

2009/03/13

　「『SQLインジェクション 2.0』とでも表現できる攻撃が登場している」――先日来日した米インパーバのプロダクトマーケティング担当ディレクター、ディーン・P・オカンポ（Dean P. Ocampo）氏は、現在のセキュリティ状況についてこのように警告する。

　SQLインジェクションは、Webページを介して悪意あるコードを挿入し、データベースからの情報漏えいや改ざんにつなげるという攻撃だ。数年前から見られる手法であり、決して目新しいものではない。「だが、自動化されたツールが登場し、さらにパワーアップしている」とオカンポ氏は述べた。

　「データベースの構造やプロファイルの収集も含めて自動化されている。また、Googleなどの検索エンジンを利用して脆弱性を見つけ出すなど、さまざまな要素を自動化し、ひとまとめに提供するツールが登場している」（同氏）。

　しかも、攻撃していることに気付かれないようにするため、静かに潜行して攻撃を仕掛けるようになっているのも最近の攻撃の特徴だという。「連続して攻撃を仕掛けるのは、ドアをどんどんノックしているのと同じこと。何か普段とは違うことが起こっているとすぐに分かり、注意が向けられてしまう」（同氏）。

不景気がセキュリティリスクをもたらす？

　オカンポ氏は、景気の低迷に起因するセキュリティリスクの増大についても語った。企業では人員削減が進み、IT部門も例外ではない。だが、IT部門で人が減れば、セキュリティに注意を払う人も、アプリケーションの品質保証（Quality Assurance）担当も減ってしまうことになる。

　また、アプリケションやデータベースの構造、アーキテクチャを把握している内部関係者が解雇されてしまった後、社内の情報を持ち出したり、何らかの悪意ある行為を仕掛ける可能性は否定できない。

　「不景気のプレッシャーがかかるのは技術者だけでない。『無料』『すぐもうかる』といった言葉につられてフィッシング詐欺に引っかかる確率も高まるだろう。そういう意味で、2009年は大変な環境下に置かれるだろうと思う」（同氏）。

　ただ、「IT予算は全体に縮小傾向にあるが、その中でもセキュリティ関連は比較的同程度の額にとどまっているという感じを受けている」ともいう。

　オカンポ氏はもう1つのポイントとして「自動化」を挙げた。「スキルを持ったIT担当者を十分に置くことができる完璧な組織ならば話は別だが、現実にはITスタッフの数は減っており、サードパーティのソリューションが必要だろう。Webアプリケーションファイアウォール（WAF）などを用いてデータベースなどに対するセキュリティを自動化することにより、この経済状況下でも、余分なリソースをさくことなく、事業を成功させていくことができるだろう」（同氏）。

WAF市場の動向について

　インパーバでは、データセキュリティに特化したアプライアンス「SecureSphere」シリーズを開発、販売している。2008年は、経済状況が悪化する中でも、売り上げ、顧客ベースともに増加したという。

　「WAFの市場は成熟しつつあると考えている。伝統的なファイアウォールやIDS、IPSでは、セキュリティ問題は解決しないという理解が広がりつつあり、WAFの存在が認識されつつある」（オカンポ氏）。

　さらに2009年は、PCI DSS 1.2がWAF導入を後押しする力の1つになるだろうと同氏は述べた。「PCI DSS標準には、WAFの導入が記載されている。エンタープライズレベルだけでなく、中小企業においてもこうした動きが起こるようになっている」（同氏）。

　最近では、ファイアウォールやVPN、IDSといった複数のセキュリティ機能を備えたUTMアプライアンスが、さらにWAF的な機能を追加する製品が増えてきている。しかし、こうしたアプローチは包括的ではあるが、複数の処理を順々に実行するため、パフォーマンスの面で課題が残るだろうと同氏は指摘する。また、シグネチャに基づいた攻撃の検出はできても、カスタムアプリケーションの挙動やパラメータ、ロジックを理解した上で攻撃を防ぐという意味でのWAFの実装は困難だろうという。