PR
米マイクロソフトのセキュリティチーム「Microsoft Security Response Center (MSRC)」の公式ブログ
米マイクロソフトのセキュリティチーム「Microsoft Security Response Center (MSRC)」の公式ブログ
[画像のクリックで拡大表示]

 米マイクロソフトは2008年4月25日、同社の公式ブログにおいて、最近頻発しているWebサイトへの攻撃に言及。同社のWebサーバー製品「Internet Information Services(IIS)」やデータベースサーバー製品「SQL Server」の脆弱(ぜいじゃく)性が不正侵入の原因としている一部報道を否定した。

 2008年3月以降、「SQLインジェクション」によるWebサイトへの不正侵入が相次いでいる。不正侵入により、Webページを改ざんされたり、顧客情報などを盗まれたりしている。

 一部報道では、侵入されたWebサイトのほとんどはIISやSQL Server、ASP(Active Server Pages)を利用していたので、一連の不正侵入は、これらの製品や技術の脆弱性を悪用している可能性があるとほのめかしている。記事の中には、2008年4月に同社が公表した、修正パッチ(セキュリティ更新プログラム)未公開のWindowsの脆弱性(マイクロソフトセキュリティアドバイザリ951306)との関連性を言及しているものもあるという。

 しかしながら、同社スタッフは公式ブログにおいて、これらをすべて否定。一連の攻撃は、同社製品や技術の脆弱性を悪用するものではないと強調している。あくまでも、それぞれのサイトが使用しているWebアプリケーションの脆弱性が原因であり、その脆弱性を悪用してSQLインジェクション攻撃が行われているとしている。

 同社によれば、攻撃者はツールなどを使って自動的に攻撃を仕掛けているという。このような攻撃では、IISを使用しているWebサーバーが標的になっているものの、SQLインジェクション攻撃を受ける脆弱性は、どのようなプラットフォームにも存在しうるとしている。