ドットインストール代表のライフハックブログ
「A5:SQL Mk-2」は、SQL文の入力支援やER図作成などの機能を備えた高機能なSQL開発環境。Windows 98/2000/XP/Server 2003/Vista/Server 2008/Vista x64に対応する寄付歓迎のフリーソフトで、作者のWebサイトからダウンロードできる。 本ソフトは、SQL文の作成・実行を行える汎用のデータベース開発環境。ADOやODBCドライバーを利用して各種データベースに接続可能で、本ソフトで作成したSQL文を実行し、その結果を表示できる。また、SQLの実行計画を取得したり、実行結果を「Excel」へ出力することも可能。 画面はサイドバーと編集画面の2つに分割されており、サイドバーではデータベースおよび関連するスキーマ・テーブル・ビューといった項目がツリー形式で表示される。編集画面はタブ切り替え式になっており、SQL文やテーブルなどを複数開いて
最近,「SQLインジェクション」の危険性について語られる機会が増えているが,SQLインジェクションの正体,その問題点,そしてそれを防ぐための方策について詳しく理解している人はまだ多くない。ここでは,SQLインジェクションとは何かを明確に定義し,どのようにして行われるかを説明し,SQLインジェクションから組織を守る方法を読者に伝えることによって,この状況を改善したい。 SQLインジェクションとは何か SQLインジェクションとは,アプリケーションに含まれるコーディング・エラーが原因となって引き起こされるぜい弱性,または欠陥である。SQLインジェクションは,ユーザーが入力したデータを使ってアプリケーションがSQLステートメントを作成し,それをSQL Serverに送信して実行する場合に発生する。この欠陥が及ぼす影響は,コーディング・エラーの性質によって様々である。 具体的に言うと,その影響は,エ
SecureWorksによれば、1~3月には1日当たり100~200件程度だったSQLインジェクション攻撃が、4月に入って1000件から4000件、8000件という規模になったという。 ITセキュリティ管理サービスの米SecureWorksは7月18日、銀行や信用組合、公益企業を標的としたSQLインジェクション攻撃が、過去3カ月で激増していると発表した。 1~3月にかけて同社が遮断したSQLインジェクション攻撃は1日当たり100~200件程度だったが、4月に入って激増し、1000件から4000件、8000件という規模になったという。 攻撃の大部分は米国外から仕掛けられ、特定の組織に標的を絞る傾向が見られると同社。攻撃が巧妙になれば顧客データベースにアクセスされ、口座番号やクレジット番号、社会保障番号などが盗み出される恐れがあると解説している。 最近のSQLインジェクション攻撃としては、昨年
■ SQLインジェクションって何? 最近はやや下火になりましたが、2005年に随分猛威をふるったのがSQLインジェクション(SQL Injection)を使った不正アクセスでしょう。実際、情報処理推進機構(IPA)の「情報セキュリティ白書2006年版」によると、2005年のセキュリティの10大脅威の第1位が「事件化するSQLインジェクション」でした(関連記事)。では、そもそもSQLインジェクションというのは何でしょう? Injectionを辞書で引くと、投入や噴射、注入といった訳語が出てきますが、「SQLを投入」といっても意味がわかりません。あえてこれを訳すと「データベースに外部から不正なSQLを投入・実行する方法」ということになるでしょうか。ただ、これでも理解しにくいかもかもしれませんので、順を追ってもう少し説明していくことにしましょう。 ■ SQLインジェクションが起き得るケースの前提
オンメモリー・データベースがシステムの中核データベースとして浮上してきた。データ更新処理が可能な製品が増えてきたからだ。リレーショナル・データベースとの互換性が高まったことも大きい。ハードによる性能解決の代替案としての導入が増えそうだ。 オンメモリーDBは、すべてのデータをメモリー上に展開することで検索や並べ替えなどの処理速度を高めたデータベース管理システム。これまでは検索に特化した製品がほとんどで、データ・ウエアハウスや大規模バッチ処理などの用途が主流だった。それがここにきて、基幹系システムの中核データベースとして浮上してきた。 データベース操作言語「SQL92」への対応のほか、データ更新処理ができる製品が増えてきたのが最大の理由(表[拡大表示])。更新処理中にディスク・アクセスが発生しないので、システムの性能を高めることができる。ただし、トランザクション・ログはディスクで管理し、万一の
Webアプリケーションのセキュリティに関して情報共有などを行う「Web Application Securityフォーラム(WASフォーラム)」は、Webアプリケーションの脆弱性として注目を集めているSQLインジェクションへの対応策をまとめた文書「SQL Injection Defense Tree」を公開した。文書はWASフォーラムのWebサイトからダウンロードできる。 SQLインジェクションは、SQLを使ったWebアプリケーションで、入力文字中にメタキャラクタが挿入され、本来はデータとして解釈される部分が命令文として処理されることで、実行されてしまうという脆弱性、または攻撃手法のことをいう。たとえばユーザー名とパスワードでログインするようなWebアプリケーションにこの脆弱性があった場合、入力文によってはユーザー名とパスワードを知らなくてもアクセスできてしまう。 最近では、SQLインジェ
「最近注目されている『SQLインジェクション攻撃』だが,決して新しいものではない。3~4年前から行われているので,『何をいまさら』というのが専門家の見方だ。ただし,2004年9~10月ごろから“使いやすい”攻撃ツールが公開されているために,SQLインジェクション攻撃が急増しているのは確かだ」――。ラックの代表取締役社長である三輪信雄氏などは7月25日,データベース・セキュリティ・コンソーシアム(DBSC)のセミナーにおいて,SQLインジェクション攻撃やデータベース・セキュリティについて解説した。 DBSCとは,データベースに関するセキュリティの議論や研究,情報発信を行うためのコンソーシアム。2005年2月に設立された。ラックの三輪氏が事務局長を務める。設立目的は,「データベース・セキュリティにかかわるさまざまな人々が集まれる場所を提供するため」(三輪氏)。 一口に“データベース・セキュリテ
「SQLインジェクション」によると思われる公開サーバーへの攻撃が相次いでいる。 SQLインジェクションとは,Webアプリケーションの脆弱性を突く攻撃手法の一つ。SQLインジェクション自体は目新しいものではない。しかし,SQLインジェクションを自動的に行うツールの出現により,最近特に目立ち始めたという。 業種や事業規模にかかわらず,Webサーバーを運営している企業/組織にとっては対岸の火事ではない。いつ狙われても不思議ではない。対策が急務である。「ウチはきちんと対策をしている」と考えている企業/組織も改めて確認すべきである。セキュリティに万全はない。 本稿では,IT Proに掲載したSQLインジェクションに関する記事をまとめた。対策を施すときや再確認時の参考にしていただければ幸いである。 ニュース ◆「WWWアプリケーションの92%が攻撃に対して脆弱性有り」,米WebCohortの調査 [2
.NET、Visual FoxPro、SQL Server、Crystal Reportsによる独自のWebソリューション/デスクトップソリューションを提供するコンサルティンググループ「Common Ground Solutions」の創業者兼主任コンサルタント。ソフトウェアアプリケーションの開発経験は17年に及ぶ。米農務省からシステムオートメーション関連の賞をいくつか受賞。また、6桁の投資見返りを実現するソリューションを開発したことによりFortune 500企業から特別表彰を受ける。保険、会計、環境衛生、不動産、出版、広告、製造、金融、日用品、貿易振興など多様な業界に携わった経験を持ち、さまざまな形態で独自のトレーニングも行っている。
IPA/ISECは、不正アクセスを受けWebサーバが改ざんされた5月の事例を踏まえ、Webアプリケーションについてもセキュリティ対策が必要であると呼びかけた。 情報処理推進機構セキュリティセンター(IPA/ISEC)は6月6日、2005年5月のウイルスおよぶ不正アクセスの届出状況をまとめ、公開した(別記事参照)。 この中でIPA/ISECは、不正侵入報告10件のうち、Webサーバに侵入されてコンテンツを改ざんされた事件が7件あり、うち1件では、ユーザーがWebページを閲覧しただけでウイルスに感染する仕組みを埋め込まれていたことをに言及。この事例では、原因は不明だが「セキュリティパッチ適用や外部からのサーバアタック診断を適切に実施していたにもかかわらず、サーバへの侵入を許す結果」となった。 IPA/ISECによると、この事例のWebサイトでは、ただ情報を公開するだけの静的なコンテンツだけでな
SQLServerについて、サポート保守契約しているところはないのでしょうか?何か疑問点があったときに質問をして、調査回答してもらえるところを探しています。あるとしたら、費用はどのくらいかかるのでしょうか?
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く