Cybersecurity Dive:
CISA「OSコマンドインジェクションの脆弱性は出荷前に排除を」 FBIと共同勧告
脅威グループは広く普及しているネットワークデバイスの脆弱性を標的にしている。CISAの最新勧告はソフトウェアメーカーに対し、これらの脆弱性をソースから排除するよう促した。(2024/7/26)
求められる“緊急の脆弱性対策”
Fortinetユーザーが“無防備”に 「SQLインジェクション」の影響範囲は?
Fortinet製品に重大な脆弱性が見つかった。どのような脆弱性で、どの製品が影響を受けているのか。ユーザー企業に求められる対策は。(2024/5/14)
「生成AIを使ったシステムには特有の脆弱性がある」:
「プロンプトインジェクション」「ジェイルブレイク」など5項目を診断 生成AI診断サービスをラックが提供開始
ラックは、生成AIシステムのセキュリティを強化するサービス「生成AI活用システム リスク診断」の提供を開始した。生成AIを使ったシステムに特有の脆弱性が含まれていないかどうかを評価し、改善点をレポートする。(2024/2/22)
APIを危険にさらす「5大リスク」とは【中編】
APIを狙う「インジェクション攻撃」から個人情報を守るには?
APIを巡るさまざまなセキュリティリスクの一つが、インジェクション攻撃だ。どうすればこの攻撃を防ぐことができるのか。そもそもどのような手法なのかを含めて解説する。(2023/11/15)
Innovative Tech:
「マルウェア入り画像」で生成AIにサイバー攻撃 入力すると回答結果をハック、悪意サイトへの誘導も
米Cornell Techに所属する研究者らは、画像や音声に悪意あるプロンプトを含ませたプロンプト・インジェクション(生成AIに対しての攻撃)を提案した研究報告を発表した。(2023/7/28)
「CWE Top 25」2023年版、MITREが発表:
ソフトウェア開発で気を付けたい脆弱性トップ25 3位は「SQLインジェクション」 2位は「XSS」 1位は?
MITREは、ソフトウェアにおいて危険な脆弱性タイプの1位〜25位をまとめた「CWE Top 25」を発表した。(2023/7/13)
ITワード365:
Stable Diffusionとは? 【ITワード365】Microsoft Dev Box/ダークウェブ/ハイパーコンバージドインフラストラクチャ/OpenFlow/インジェクション攻撃/BitLocker
最新IT動向のキャッチアップはキーワードから。専門用語でけむに巻かれないIT人材になるための、毎日ひとことキーワード解説。(2022/9/15)
ロシアからのSQLインジェクションが急増 9月4日だけ平均の3倍
9月4日だけ、ロシアから大量のSQLインジェクション攻撃があった──WAF開発のサイバーセキュリティクラウドが13日、そんな観測結果を発表した。(2022/9/13)
医療機器ニュース:
MRI用イメージングシステムインタフェースを発売、一括操作に対応
シーメンスヘルスケアは、同社のMRIとバイエル薬品のMRI用造影剤自動注入装置「MRXperion インジェクション システム」を連動させた、MRI用イメージングシステムインタフェースの国内販売を開始した。(2022/7/21)
名古屋大学に不正アクセス 「ブラインドSQLインジェクション」攻撃でメアド2086件漏えいか
名古屋大学で、情報システムに関する質問を受け付けるシステムが不正アクセスを受け、メールアドレス2086件が漏えいした可能性がある。攻撃対象サーバの挙動を分析して内部情報を探る「ブラインドSQLインジェクション」を受けたとしている。(2022/6/28)
矢野経済研究所、Webサイト一時閉鎖 SQLインジェクション受けメールアドレスなど10万件以上漏えいか
矢野経済研究所が、同社のWebサイトに不正アクセスを受け、メールアドレスなど最大10万1988件が漏えいした可能性があると発表した。データベースを不正操作する「SQLインジェクション」を受けたという。(2022/6/27)
ゲーマー向け家具「バウヒュッテ」提供元に不正アクセス SQLインジェクションでメールアドレス2万件超漏えいか
ゲーマー向け家具ブランド「バウヒュッテ」などを運営するビーズが、公式サイトに不正アクセスを受けたと発表。データベースを不正操作する「SQLインジェクション」を受け、顧客や取引先のメールアドレス計2万件以上が漏えいした可能性があるという。(2022/3/1)
メタップス、不正アクセスやられ放題 最大46万件のカード番号やセキュリティコード流出か バックドアやSQLインジェクションの痕跡見つかる
メタップスペイメントのデータベースから最大で46万件のクレジットカード番号、有効期限、セキュリティコードなどが流出したことが分かった。サーバへの不正ログイン、SQLインジェクション、バックドアの設置などさまざまな攻撃を受けていたという。(2022/2/28)
日能研に不正アクセス、メールアドレス28万件流出か SQLインジェクション攻撃で
日能研のWebサーバが不正アクセスを受け、最大約28万件のメールアドレスが流出した可能性がある。SQLインジェクションによる攻撃だったという。(2022/1/31)
サンリオ子会社に不正アクセス、メアド4万6000件流出か SQLインジェクション攻撃で
サンリオエンターテイメントが、同社のWebサイトに不正アクセスを受け、メールアドレス4万6421件が流出した可能性があると発表。「SQL文」を何らかの方法で実行させ、利用しているデータベースを不正操作する「SQLインジェクション」を受けたという。(2021/6/8)
ワクチン予約システムで話題の「SQLインジェクション」って何? 試すと法律違反? 専門家に聞く
「SQLインジェクションができる」と話題になった大規模接種センターの新型コロナワクチン接種予約システム。Twitterには実際に試すと犯罪になるという声もあったが、そもそもSQLインジェクションとは何で、実行すると本当に犯罪になるのか。専門家に聞いた。(2021/5/19)
5月18日は「SQLインジェクション」「モリサワ」が話題に 今日のトレンドをサクッとおさらい
Twitterで話題になったIT関連ワードを「Yahoo!リアルタイム検索」を基にピックアップ。それぞれのワードが話題になった背景を3行でおさらいする。5月18日は、「SQLインジェクション」「モリサワ」が話題になった。(2021/5/18)
WordPressのアンチスパムプラグインにSQLインジェクションの脆弱性、アップデートで対応を
WordPressプラグインにSQLインジェクションの脆弱性が見つかった。この脆弱性を利用されると、ユーザー電子メールアドレスやハッシュ化されたパスワードなど任意のデータを窃取される危険性があるため、アップデートを急いでほしい。(2021/5/10)
「見えないWeb攻撃」──情報漏えい対策の盲点:
「普通の企業サイト」がいま攻撃に晒されているワケ ”見て見ぬふり”のわずかなスキに忍び寄る影
Webサーバやサービスの脆弱性を狙った、SQLインジェクションなどの一般的なWebアプリケーション攻撃は相変わらず猛威を振るっている。そしてこの背景には、闇市場で最近流通している「ある品目」が関係していそうなことが見えてきた。(2021/3/15)
Webアプリケーションを脅かす5つの脆弱性【前編】
SQLインジェクション、クロスサイトスクリプティングとは? Webの主な脆弱性
攻撃によく利用される手法を理解することは、適切なセキュリティ対策を講じるための第一歩だ。Webアプリケーションの主な脆弱性「SQLインジェクション」「クロスサイトスクリプティング」を紹介する。(2020/4/16)
攻撃手段は「SQLインジェクション」が中心:
ゲーム業界が「攻撃者にとって魅力的」な理由とは アカマイが調査レポートを公表
アカマイテクノロジーズが公表した「Web攻撃とゲーム業界への攻撃」によると、2017年11月からの17カ月間にゲームWebサイトを標的とした不正ログイン攻撃は120億件。Webアプリケーションに対する攻撃のうち、SQLインジェクションが65.1%を占めていた。(2019/6/17)
WordPressの更新版「4.8.3」公開、SQLインジェクション誘発の恐れ
米セキュリティ機関US-CERTも、脆弱性を悪用されればリモートの攻撃者にセンシティブな情報を取得される恐れがあるとして、ユーザーや管理者に対応を呼び掛けた。(2017/11/2)
WordPressの更新版公開、直ちに適用を
最新版となる「WordPress 4.8.2」では、SQLインジェクションの脆弱性や、複数のクロスサイトスクリプティング(XSS)の脆弱性などが修正された。(2017/9/21)
IPA、Webサイトの脆弱性点検を呼び掛け 中国サイトに約400件の情報登録
SQLインジェクションの脆弱性が存在する約400サイトの情報が中国のポータルサイトに登録されていたといい、悪用の恐れもあることから緊急点検や改修の実施を呼び掛けている。(2017/1/25)
脆弱性情報と引き換えに身代金を求める
悪の“バグ報奨金プログラム”ともいえる「サイバー恐喝」の恐怖とは
2015年、IBMは“バグの領域”を侵害するサイバー恐喝攻撃を30件報告している。その攻撃は、悪意のあるハッカーがSQLインジェクションの脆弱(ぜいじゃく)性を悪用して、企業を“助ける”ことを目的にしているという。(2016/7/28)
Ubuntuフォーラムから200万人の情報流出、放置の脆弱性が悪用される
攻撃者は、パッチが当てられていなかったvBulletinのプラグイン「Forumrunner」のSQLインジェクションの脆弱性を悪用していた。(2016/7/19)
5分で絶対に分かる:
5分で絶対に分かるWAF
「SQLインジェクション」などの攻撃からWebサイト(Webアプリケーション)を守るWAF(Web Application Firewall)について、5分で解説します。(2016/3/7)
アカマイがWeb脅威に関する報告書を公開:
Web担当者必見。知らぬうちにSEO攻撃に組み込まれる可能性
アカマイ・テクノロジーズは、Webセキュリティの脅威に関する報告書を発表した。SQLインジェクションを使用して、検索エンジンのランク付けに影響を与える攻撃を確認したという。(2016/1/14)
FAニュース:
溶融はんだインジェクション法を300mmウエハー向けに開発
JSRは、日本IBM、千住金属工業と共同で溶融はんだインジェクション法を300mmウエハー向けに開発したと発表した。微細なはんだバンプを、低コストかつ信頼性の高いプロセスで形成し、より幅広い接合ニーズに対応できる新技術だという。(2015/12/25)
IT用語解説系マンガ:食べ超(82):
校長先生の長話にSQLインジェクション
既読スルーへの追いスタンプも、SQLインジェクションの一種です。(2015/11/11)
バージョン3.4.5へのアップデートを「直ちに」「強く」推奨:
CMS「Joomla!」にSQLインジェクションの脆弱性、スキャンの動きも内外で
オープンソースのコンテンツ管理システム「Joomla!」に、SQLインジェクションの脆弱性が存在することが明らかになった。開発チームでは問題を修正したJoomla! 3.4.5へのアップデートを強く推奨している。一方で早速、この脆弱性を探索するアクセスが観測されており、注意が必要だ。(2015/10/30)
ロンドン警視庁、TalkTalkの情報流出事件で15歳少年を逮捕
流出した契約者のクレジットカード番号や銀行口座番号は悪用できないとTalkTalkは強調。攻撃の発端はSQLインジェクション攻撃だったと伝えられている。(2015/10/27)
シャトレーゼにSQLインジェクション攻撃、情報流出の疑い
Webサイトへの不正アクセスで約21万人分の会員情報が漏えいした可能性がある。(2015/7/30)
Drupalに極めて深刻な脆弱性、直ちに更新を
悪用された場合、細工を施したリクエストを使ってSQLインジェクション攻撃を仕掛けられる恐れがある。(2014/10/16)
脆弱性の改修、必要性が分かっていても先送り?:
シマンテックがWeb攻撃の傾向を解説、最多の攻撃はSQLインジェクション
誰もが知る「SQLインジェクション」攻撃、なのに対策は進んでいない――シマンテックが「分かっているけど対策できない」現状を解説した。(2014/9/29)
jQueryにWebサイトにインジェクション攻撃、不正コード挿入の報告も
jQueryはWebサイトが攻撃に遭ったことを確認した。セキュリティ企業のRiskIQは、jQueryのWebサイトに不正なコードが仕込まれているのを見つけたと伝えていた。(2014/9/25)
Ruby on RailsにSQLインジェクションの脆弱性、直ちに更新を
悪用された場合、細工を施した値を使って任意のSQLを挿入される恐れがある。(2014/7/7)
OWASP AppSec USA 2013 レポート(前編):
深刻な「ブラインドSQLインジェクション」の脅威
2013年11月18日から11月21日の4日間にわたり、Webアプリケーションのセキュリティに関する国際的なカンファレンス「OWASP AppSec USA 2013」がニューヨークで開催されました。その模様をお伝えします。(2014/2/4)
今こそ見直す「Webセキュリティ対策」【第5回】
あなたのWebサイトの欠陥も丸見え? 「脆弱性検索サイト」の脅威
SQLインジェクションやXSSなど、Webサイトの脆弱性を狙った攻撃は止む気配がない。こうした中、Webサイトの脆弱性を検索可能な公開ツールも登場。その危険性と対策を探る。(2014/1/27)
SECCON 2013 横浜大会レポート:
来年は「U-50」大会も? シニアの血も沸く夏の戦い
2013年8月23日、「CEDEC 2013」に併せてパシフィコ横浜で開催されていた「SECCON 2013」第1回地方大会が閉幕した。本戦の「CTF」に加え、その予選としてSQLインジェクションチャレンジやバイナリかるた/アセンブラかるたなど、趣向を凝らした競技が開催された。(2013/9/6)
世界の大手企業に不正アクセスした犯人、1億6000万件のクレジットカード情報を盗む
訴追された男5人は米NASDAQや7-Elevenといった大手企業のネットワークにSQLインジェクション攻撃を仕掛けて不正侵入し、マルウェアを仕込んで情報を盗んだとされる。(2013/7/26)
ネットの安全性を支えてきた“両雄”がついに統合へ――:
PR:ベリサインとシマンテックのシナジーが生み出す「セキュリティの未来」
Web改ざんやSQLインジェクションによる情報漏えいなど、ユーザーに大きな影響を及ぼすセキュリティ事件が多発している中、あらためてWebサイトのセキュリティが問われている。ベリサインは、2013年9月にSSLサーバ証明書のブランドを「シマンテック」へと変更し、SSLの範疇を超えた「Webサイトセキュリティ」へのさらなる進化を目指していく。(2013/7/1)
NoSQLを使うなら知っておきたいセキュリティの話(2):
「JSON文字列へのインジェクション」と「パラメータの追加」
MongoDBを用いたWebアプリケーションで生じる可能性がある4種類の脆弱性のうち、今回は「JSON文字列へのインジェクション」と「パラメータの追加」のメカニズムと対策について説明します。(2013/6/6)
試してみなけりゃ分からない? 古いWebアプリの脆弱性(2):
CMSに潜むSQLインジェクション
今回は、古いCMSに潜むSQLインジェクションの脆弱性を検証する。データベースを操作した結果、どんなことが可能になるのか、その危険性をあらためて認識してほしい。(2013/5/30)
サーバに保持のセキュリティコードなども流出:
エクスコムグローバル、SQLインジェクションで約11万件のクレカ情報流出
エクスコムグローバルは5月27日、同社WebサイトがSQLインジェクション攻撃を受け、最大10万9112件のクレジットカード情報やセキュリティコードが流出したことを明らかにした。(2013/5/27)
NoSQLを使うなら知っておきたいセキュリティの話(1):
「演算子のインジェクション」と「SSJI」
ここ数年、大量データ処理時の高速性やデータ構造の柔軟性などから、「NoSQL」が注目を集めています。それと同時に、NoSQLを使うアプリケーションに対する攻撃手法も研究されるようになりました。この記事では、NoSQLを使ったアプリケーションの脆弱性と対策について解説します。(2013/5/22)
McAfee、「ePolicy Orchestrator」の脆弱性に対処
McAfee ePolicy Orchestrator 4.6.4までのバージョンに、SQLインジェクションなどの脆弱性が見つかった。(2013/4/30)
セキュリティクラスタ まとめのまとめ 2012年8月版:
タダほど高いものはない? ツールバーの履歴収集
8月は、Webブラウザにアドインして利用する「検索ツールバー」の問題が大きくクローズアップされました。ほかにも、話題の市長がうっかり名簿をさらしたり、SQLインジェクションで世界中のサイトが被害に遭ったりと、暑い中でも休みなく事件は起こりました。(2012/9/18)
情報窃盗を狙うSQLインジェクション攻撃が急増――クラウド事業者が報告
クラウドホスティングサービス事業者のFireHostによると、2012年4〜6月期はSQLインジェクション攻撃が前期比で69%の急増を記録したという。(2012/7/30)
川口洋のセキュリティ・プライベート・アイズ(39):
ちょっと変わったSQLインジェクション
(2012/3/23)
にわかに地球規模のトピックとなった新型コロナウイルス。健康被害も心配だが、全国規模での臨時休校、マスクやトイレットペーパーの品薄など市民の日常生活への影響も大きくなっている。これに対し企業からの支援策の発表も相次いでいるが、特に今回は子供向けのコンテンツの無料提供の動きが顕著なようだ。一方産業面では、観光や小売、飲食業等が特に大きな影響を受けている。通常の企業運営においても面会や通勤の場がリスク視され、サーモグラフィやWeb会議ツールの活用、テレワークの実現などテクノロジーによるリスク回避策への注目が高まっている。