phpMyAdminにセキュリティホール

phpMyAdminはオープンソースのデータベースシステムMySQLの管理用プログラムです。これ自体もオープンソースです。データテーブルの管理やデータベースの作成が知識のある人には容易にできるソフトウェアで、広く使われています。データベース付のホスティングサービスや、レンタルサーバーなどにもよく採用されています。

そのphpMyAdminに脆弱性がみつかり、開発元はアップグレードすることを呼びかけています。(ZDNet記事:phpMyAdminにパッチ:SQLインジェクション、XSSの問題を修正

さて、アップグレードは重要ですが、その前にしておくべき対策もあります。phpMyAdminにアクセスさせないことです。いくつか、対応策をあげておきますので、アップグレードと一緒に検討してみてください。

  • 面倒だからと、ID/パスワードを設定ファイルに組み込まない。(完全にインターネットから切り離された、テストや仮設定以外は、ID/PASSを毎回打ち込むようにする。パスワード保存のオプションが有っても使用しない。)
  • 通信はSSLを通して行う。サーバー証明が無くても、通常のサーバーならSSL通信は可能です。ブラウザに警告文は表示されますが、例外として許可すれば可能です。
  • phpMyAdmin自体をアクセス制限域におく(当然、ホームページからのリンクなどを付けてはいけません。)
  • 使用しなくなったら、削除してしまう。

ウェブサイト攻撃が急増

独立行政法人情報処理推進機構が、ホームページへの不正侵入が増えていることを警告している。(ZDNET記事;SQLインジェクションによるウェブサイト攻撃が急増、IPAが対策を呼びかけ

SQLインジェクションなど聞いたこともなく、うちのサイトは関係ないなどと思っても、下記が当てはまれば、多少とも関係している可能性があるので、簡易検査を行って欲しい。

  • ブログ、CMSなどを使用している
  • ECシステムを利用している
  • 自前の製品検索を付けている
  • 問い合わせなどにデータベースを利用している
  • 最後が”.php”のページがある(動的なページがある)

システムについて、知識が無ければ、以下の事を行って欲しい。

  1. オープンシステムを使用している場合は、開発元のサイトを調べ、最新バージョンに更新を行う。
  2. 自社用に開発したのであれば、制作部門、制作会社に確認して、対策をとる。もし、対応が取れないようなら、プログラムの使用は控え、別の会社に対応を依頼するのが望ましい。

SQLインジェクションでは、顧客データの漏洩や、サーバーの機能が奪取されかねない。放置すれば、自社サイトだけでなく、サーバー管理会社やインターネット社会全体にも被害が広がる。対岸の火事と思わず、確認をしてほしい。

SQLインジェクションは非常に簡単に分かることがありますが、その方法は、ホームページで紹介されていません。悪用される恐れがあるからです。IPAの簡易検査が難しい場合は、ノーブに御連絡ください。簡単なテストであれば、無償で確認いたします。(問題がある場合は、はっきり分かりますが、簡単なテストが通っても、安全とは言い切れませんのでご了承ください。)

サイト改ざん攻撃

以前からIPAなどがサイトへの攻撃が増えていると警告していたが、数値だけでは実感がわかなかった。しかし、今週は身近で利用している有名ゴルフ予約サイトや公的情報サイトで相次いで、サイトの改ざんの報告がでていた。予約サイトでは、会員向けのメールに悪意のあるサイトへのリンクも埋め込まれ、復旧に数日かかっていた。
下記の様なサイトを運営されている方は再度注意したほうがよさそうである。

  • 会員が画像のアップロードを行える
  • 管理画面でデータのアップロードを行える
  • ブログ
  • 会員登録などデータベース登録を行う

対処法については、弊社やIPAのサイトを参照してほしい。

Web改ざん急増

このブログでも、何回かとりあげたが、いろいろな方面で、SQLインジェクションという方法によるWeb改ざんが急増していることが報告されている。今度は、セキュリティソリューションサービスの株式会社ラックがそのレポート、CSL(コンピュータセキュリティ研究所)レポート「ビジネス化がさらに加速するサイバー攻撃」のなかで、これらの脅威について発表している。

要約すると以下のようになる

  • グーグルの検索機能を使い脆弱性の有るサイトを見つけている
  • 一連の作業はプログラムで完全に自動化されている
  • SQLインジェクションを糸口に改ざんされる(データベースから公開されていないデータを取得する)
  • 改ざんされるとJavaScriptプログラムが埋め込まれ、重要情報などを盗まれる

最近弊社がチェックしたサイトも、データベースを操作される可能性を残していた。別のサイトではログインの部分ですらSQLインジェクションが可能であった。

攻撃は自動化されているので、自社のサイトは有名でないから大丈夫などと考えず、チェックを行って欲しい。チェックポイントとしては

  • データベースを使っていないか?
    ブログや問い合わせで使用していることがある。
  • 開発を依頼した検索、登録などのフォームにSQLインジェクションの脆弱性がないか
    IPAのホームページにツールがある。あるいは、開発を依頼した先とは別の所にチェックを依頼する。
  • アクセスログに異常なアクセスがないか?
    データ転送量が急に増えたり、作成していないページにアクセスがないか?

アクセスログはホームページの改善にも役立つので、ぜひ、チェックして欲しい。