セキュリティ アドバイザリ

Microsoft セキュリティ アドバイザリ 954462

未確認のユーザー データ入力を悪用する SQL インジェクション攻撃の増加

公開日: 2008 年 6 月 24 日 |更新日: 2008 年 6 月 25 日

Microsoft は、Microsoft ASP および ASP.NET テクノロジを使用しているが、セキュリティで保護された Web アプリケーション開発のベスト プラクティスに従っていない Web サイトを対象とする攻撃のクラスにおける最近のエスカレーションを認識しています。 これらの SQL インジェクション攻撃は、特定のソフトウェアの脆弱性を悪用するのではなく、リレーショナル データベースに格納されているデータにアクセスして操作するためのセキュリティで保護されたコーディングプラクティスに従っていない Web サイトを対象としています。 SQL インジェクション攻撃が成功すると、攻撃者はこれらのデータベースに格納されているデータを侵害し、リモート コードを実行する可能性があります。 侵害されたサーバーを参照しているクライアントは、知らないうちに、クライアント コンピューターにマルウェアをインストールする可能性がある悪意のあるサイトに転送される可能性があります。

軽減要因:

この脆弱性は、ユーザーデータ入力を検証してセキュリティで保護された Web アプリケーション開発に関して一般的に認められたベスト プラクティスに従う Web アプリケーションでは悪用できません。

一般情報

概要

アドバイザリの目的: セキュリティで保護された Web アプリケーション開発のベスト プラクティスに従わない、脆弱な ASP および ASP.NET Web アプリケーション コードを識別して修正する管理者を支援します。

アドバイザリの状態: Microsoft セキュリティ アドバイザリと関連ツールがリリースされました。

推奨事項: 推奨されるアクションを確認し、必要に応じて構成します。 また、サーバー管理者は、説明されているツールの有効性を評価し、必要に応じて利用することをお勧めします。

このアドバイザリでは、次のソフトウェアについて説明します。

よく寄せられる質問

アドバイザリの範囲は何ですか?
このアドバイザリは、Web サイト管理者が、Web アプリケーション コードが SQL インジェクション攻撃の可能性を受けやすい問題を特定し、アプリケーションの修正中にサーバーに対する SQL インジェクション攻撃を軽減するためのストップガップ ソリューションを提供することを支援することです。

これは、Microsoft がセキュリティ更新プログラムを発行する必要があるセキュリティの脆弱性ですか?
いいえ。 セキュリティに関して一般的に認められたベスト プラクティスに従った Web アプリケーション コードは、SQL インジェクション攻撃の影響を大幅に受けにくいです。 これはセキュリティの脆弱性ではありませんが、このアドバイザリは、脆弱なサイトを持つ管理者に追加の警告と支援を提供するために発行されました。

この脅威の原因は何ですか?
ユーザー入力を正しく検証しないと、攻撃者が SQL コマンドを入力フィールドに挿入する可能性があります。これにより、データ ソースに対して実行され、データベースが破損したり、サーバーでコードが実行されたりする可能性があります。

攻撃者はこの関数を使用して何を行う可能性がありますか?
攻撃者は、Web アプリケーション開発のセキュリティのベスト プラクティスに従っていない Web ページの SQL インジェクションの脆弱性を利用できる自動攻撃を作成する可能性があります。 サイトを侵害した後、攻撃者は、データベースの削除や、このサーバーを参照しているクライアントをクライアント コンピューターにマルウェアをインストールする可能性のある悪意のあるサイトへのリダイレクトなど、サーバーに対して多数の悪意のある操作を実行する可能性があります。

推奨されるアクション

Microsoft は、管理者を支援するいくつかのツールを特定しました。 これらのツールは、攻撃者によって悪用される可能性のあるコーディングの検出、防御、および識別を対象としています。

• 検出 - HP Scrawlr
  Hewlett Packard は、サイトが SQL インジェクションの影響を受けやすいかどうかを識別できる無料スキャナーを開発しました。 このツールとその使用のサポートについては、HP Security Center の Scrawlr を使用した SQL インジェクションの検索に関する説明を 参照してください。

  詳細な説明:
  このツールは、ブラックボックス分析ツールになります (つまり、ソース コードは必要ありません)。 ユーザーは開始 URL を入力し、ツールは次の操作を行います。

  • サイト ツリーを構築するために、ハイパーリンクの URL を再帰的にクロールします。
  • querystring パラメーターに SQL インジェクション攻撃文字列を含む HTTP 要求を送信して、検出されたすべてのリンクで詳細な SQL インジェクションをテストします。
  • SQL インジェクションの脆弱性を示す SQL エラー メッセージについて、サーバーからの HTTP 応答を調べます。
  • 関連付けられている入力フィールドと共に、ユーザーに対して脆弱であることが判明したページを報告します。 たとえば、ツールでは、ページ "foo.asp" のフィールド "username" と "password" が脆弱であると報告される場合があります。

• Defense - UrlScan バージョン 3.0 ベータ版

  UrlScan バージョン 3.0 Beta は、インターネット インフォメーション サービス (IIS) が処理する HTTP 要求の種類を制限する Microsoft セキュリティ ツールです。 UrlScan は、特定の HTTP 要求をブロックすることで、有害な可能性のある要求がサーバー上の Web アプリケーションに到達するのを防ぐのに役立ちます。 URLScan 3.0 は IIS 5.1 以降 (IIS 7.0 を含む) にインストールされます。 UrlScan 3.0 は URLScan Tool 3.0 Beta にあります。

  詳細な説明:
  UrlScan バージョン 3.0 は、SQL インジェクション攻撃からサーバー上の Web アプリケーションをより適切に保護するために、さまざまなルールを実装できるツールです。 次のような機能が含まれています。

  • URL、クエリ文字列、すべてのヘッダー、特定のヘッダー、またはこれらの任意の組み合わせに個別に適用される拒否規則を実装する機能。
  • クエリ文字列のエスケープされていないバージョンをチェックするオプションを使用して、クエリ文字列の拒否規則を追加できるグローバル DenyQueryString セクション。
  • 拒否規則でエスケープ シーケンスを使用して、構成で CRLF やその他の印刷不可能な文字シーケンスを拒否する機能。
  • 複数の UrlScan インスタンスをサイト フィルターとしてインストールできます。それぞれに独自の構成オプションとログ オプション (urlscan.ini)。
  • 構成 (urlscan.ini) 変更通知は、リサイクルすることなくワーカー プロセスに伝達されます。 ログ設定は例外です。
  • ログ記録が強化され、説明的な構成エラーが発生しました。

• 識別 - MICROSOFT Source Code Analyzer for SQL Injection

  SQL ソース コード分析ツールが開発されました。 このツールを使用すると、SQL インジェクション攻撃の影響を受けやすい ASP コードを検出できます。 このツールは、Microsoft サポート技術情報の 記事954476にあります。

  詳細な説明:
  Microsoft Source Code Analyzer for SQL Injection は、お客様が独自の ASP ソース コードで実行できるスタンドアロン ツールです。 ツール自体に加えて、分析するコードで見つけた問題を修正する方法に関するドキュメントが含まれています。 このツールの主な機能は次のとおりです。

  • SQL インジェクションの脆弱性につながる可能性のあるコードについて ASP ソース コードをスキャンします。
  • コーディングの問題を表示する出力を生成します。
  • このツールは、従来の ASP コードの脆弱性のみを識別します。 ASP.NET コードでは機能しません。

• 追加情報

  Microsoft には、管理者がこの悪用に対処する問題を特定して修正するのに役立つ追加のリソースがあります。

  • SQL インジェクションとコーディングのベスト プラクティスに関するその他のドキュメントへのリンク:

    SQL Server インジェクション保護

    ASP での SQL インジェクションの防止

    方法: ASP.NET で SQL インジェクションから保護する

    ASP.NET での SQL インジェクションから保護するためのコーディング手法

    クラシック ASP からの SQL インジェクションのフィルター処理

    セキュリティ脆弱性調査と SQL インジェクション攻撃に関する防御ブログ

その他の情報

この脆弱性の影響を受けた可能性があると考えられる米国およびカナダのお客様は、Microsoft 製品サポート サービス (1-866-PCSAFETY) からテクニカル サポートを受けることができます。 セキュリティ更新プログラムの問題やウイルスに関連するサポートは無料です。 海外のお客様は、Microsoft のヘルプとサポートに記載されている 任意の方法を使用してサポートを受けることができます。 すべてのお客様は、Microsoft によってリリースされた最新のセキュリティ更新プログラムを適用して、システムが悪用の試行から確実に保護されるようにする必要があります。 自動更新を有効にしているお客様は、すべての Windows 更新プログラムを自動的に受け取ります。 セキュリティ更新プログラムの詳細については、Microsoft Security Central を参照してください。

リソース:

• フォームに入力すると、Microsoft のヘルプとサポートにアクセスしてフィードバックを 提供できます。お問い合わせください。
• 米国およびカナダのお客様は、Microsoft 製品サポート サービスからテクニカル サポートを受けることができます。 使用可能なサポート オプションの詳細については、Microsoft のヘルプとサポートを参照してください。
• 海外のお客様は、現地の Microsoft 子会社からサポートを受けることができます。 国際サポートの問題について Microsoft に問い合わせる方法の詳細については、国際サポートを参照してください。
• Microsoft TechNet Security は、Microsoft 製品のセキュリティに関する追加情報を提供します。

免責事項:

このアドバイザリで提供される情報は、いかなる種類の保証もなく「現状のまま」提供されます。 Microsoft は、商品性と特定の目的に対する適合性の保証を含め、明示または黙示を問わず、すべての保証を放棄します。 Microsoft Corporation またはそのサプライヤーは、Microsoft Corporation またはそのサプライヤーがこのような損害の可能性について通知された場合でも、直接的、間接的、付随的、派生的、ビジネス上の利益の損失、または特別な損害を含む一切の損害について一切の責任を負いません。 一部の州では、派生的損害または付随的損害に対する責任の除外または制限が認められていないため、前述の制限は適用されない場合があります。

リビジョン：

• 2008 年 6 月 24 日: アドバイザリが発行されました。
• 2008 年 6 月 25 日: HP Scrawlr ツールの説明から、フォーム フィールドと Cookie 値テストへの誤った参照を削除しました。

ビルド日: 2014-04-18T13:49:36Z-07:00