独立行政法人情報処理推進機構が、ホームページへの不正侵入が増えていることを警告している。(ZDNET記事;SQLインジェクションによるウェブサイト攻撃が急増、IPAが対策を呼びかけ)
SQLインジェクションなど聞いたこともなく、うちのサイトは関係ないなどと思っても、下記が当てはまれば、多少とも関係している可能性があるので、簡易検査を行って欲しい。
- ブログ、CMSなどを使用している
- ECシステムを利用している
- 自前の製品検索を付けている
- 問い合わせなどにデータベースを利用している
- 最後が”.php”のページがある(動的なページがある)
システムについて、知識が無ければ、以下の事を行って欲しい。
- オープンシステムを使用している場合は、開発元のサイトを調べ、最新バージョンに更新を行う。
- 自社用に開発したのであれば、制作部門、制作会社に確認して、対策をとる。もし、対応が取れないようなら、プログラムの使用は控え、別の会社に対応を依頼するのが望ましい。
SQLインジェクションでは、顧客データの漏洩や、サーバーの機能が奪取されかねない。放置すれば、自社サイトだけでなく、サーバー管理会社やインターネット社会全体にも被害が広がる。対岸の火事と思わず、確認をしてほしい。
SQLインジェクションは非常に簡単に分かることがありますが、その方法は、ホームページで紹介されていません。悪用される恐れがあるからです。IPAの簡易検査が難しい場合は、ノーブに御連絡ください。簡単なテストであれば、無償で確認いたします。(問題がある場合は、はっきり分かりますが、簡単なテストが通っても、安全とは言い切れませんのでご了承ください。)