|
|
| |
 |
2003/10/27
合資会社エムディエス
|
福井県内の公的なWebサイトのSQLインジェクション調査について
|
|
合資会社エムディエスはこのほど、福井県内の公的なWebサイト(県・市町村インターネットホームページ)のSQLインジェクション(※1)の問題について調査いたしました。
| 調査者 |
合資会社エムディエス |
| 調査目的 |
自治体(県・市町村)では住民サービスの向上の為、IT化をすすめていますが、そのサービスに脆弱性があることで、自治体の広報手段であるWebサイトの情報が改竄・削除などの危険にさらされてしまいます。
このサイトの書換えの手段である、SQLインジェクションの問題が無いかを調査いたしました。 |
| 調査方法 |
市町村・県のWebサイトにアクセスし、データベースと連動したWebアプリケーションに検証用のデータを入力し、問題が無いかどうかを調べました。 |
| 調査結果 |
調査対象 34サイト
SQLインジェクションの問題のあるサイト 16サイト |
| 考察 |
データベースを使うWebアプリケーションでは、入力値のチェックを行わなければ、データベースの書換えなどを行われる可能性があります。しかし、調査結果の通りデータベースが改竄・削除される可能性のあるサイトが残念ながら半数近くもある状況です。
Webアプリケーションを使ってさまざまな情報サービスが行われていますが、改めて情報セキュリティへの意識向上と、行政では脆弱性についての検証を行う必要があるかと思います。 |
| その他 |
SQLインジェクションの問題のあるサイトについては、管理者へ電子メールにて通知を行いました。その結果、ほぼ通知を行ったサイトに関してはSQLインジェクションの問題は解消されました。
また、SQLインジェクション以外にも、Webサーバの設定ファイルやパスワードファイルが漏洩するサイトもあったため、そのサイトについても管理者宛てに通知を行い、ほぼ修正を確認しました。 |
※1 SQLインジェクション
ダイレクトSQLコマンドインジェクション攻撃とは,引数などのパラメタにSQL文を混ぜ込んでおき(インジェクション),プログラム内部でそのSQL文を実行させてしまう攻撃手法
- IPAセキュリティセンター(IPA/ISEC)のセキュア・プログラミング講座から引用
:http://www.ipa.go.jp/security/awareness/vendor/programming/a02_01.html
お問い合わせ先
916-0026 福井県鯖江市本町4−8−25
合資会社エムディエス
担当:田辺一雄
電話:0778-51-9800
FAX:0778-51-9802
E-Mail: info@LP-MDS.com |
|
|
|
|
|
|
