2008年3月11日から、主に日本のサイトをターゲットにしたホームページ改ざん攻撃が頻発しているとのこと(ラック社からの注意喚起)。
これに関連して、ウイルスバスターで有名なトレンドマイクロ社のホームページも一部改ざんされ、当該ページを閲覧しただけでウイルス感染する可能性があるそうです(トレンドマイクロ社のお知らせ)。
今回感じたのは2点。
SQLインジェクションは、その脆弱性があると、攻撃側はとても簡単にアタックできてしまうから、やっぱり怖い。でも、バックエンドにデータベースを持って Web ページをダイナミックに生成するのは、コンテンツを管理する側からすると楽なので、どうしてもそっちの側に流れてしまいがちなのも事実でしょう。
私がここでブログを書いているツール(Movable Type)の場合、コンテンツはデータベースで管理しているけれど、Web ページはそこから静的に生成した普通の HTML ファイルなので、とりあえずは SQLインジェクションの危険性はない。
もう1点は、今回の攻撃が Microsoft社の ASP(Active Server Pages)を使って作られたページが主な対象となっていること。ASP って、割とお手軽に動的な Web ページが作れて便利なんだけど、実は制作者がその仕組みをちゃんとわかっていないようなケースも往々にしてある。Web アプリケーションの制作と言っても、メインはサイトデザインなどの表面的な部分に力が注がれていて、肝心のアプリケーション部分は ASP が提供する部品を使うだけなので、何をしたらどう危ないのか知らなくても、表面上はまともに動くものができてしまうという怖さがあります。
こういう事件をきっかけに、Web アプリケーション制作者が自らを省みることは当然として、自分のサイトがどういう仕組みで動いていて、そこにどんな危険性があるのかを、サイト保有者も十分認識しておく必要があるでしょう。