IPA(独立行政法人情報処理推進機構)は3月18日、SQLインジェクション攻撃からWebサイトを防御するための対策として、Webアプリケーションの安全な実装方法を解説した資料「安全なSQLの呼び出し方」を公開した。

IPAは、無償で公開しているSQLインジェクション検出ツール「iLogScanner」で脆弱性対策情報データベース「JVN iPedia」のアクセスログを解析している。その結果、Webサイトを狙ったと思われる攻撃のうち、SQLインジェクション攻撃が全体の45%、Webサーバのパスワードファイルや環境設定ファイルの情報を狙ったディレクトリ・トラバーサル攻撃が38%を占めていることがわかった。

SQLインジェクション検出ツール「iLogScanner」による脆弱性対策情報データベース「JVN iPedia」の解析結果 資料:IPA

SQLインジェクション攻撃が成功した場合、Webサイトの改竄や不正コードの設置、Webサイトからの情報漏洩といった被害が発生することから、IPAはSQLインジェクション攻撃への具体的な対策を解説した資料「安全なSQLの呼び出し方」を制作した。

同資料では、「安全なWebサイトの作り方」、「安全なSQL呼び出しのために必要なこと」、「5種類のプログラミング言語とデータベースの組み合わせ(JavaとOracle、PHPとPostgreSQL、PerlとMySQL、JavaとMySQL、ASP.NETとSQL Server)における安全なソースコードの書き方」などが解説されている。