情報セキュリティ関連セミナー
- http://www.db-security.org/seminar/dbsc_seminar1.html
ってのに行ってきた。データベース・セキュリティと言うくらいなので開発者向けの内容かと思ったら、全然もっと上位の話が中心だった。
ラックの三輪社長によるSQLインジェクションのデモは、中国製のツールを使ってASPのソースコードを取り出し、そこから得た情報を使ってさらにテーブルを自由にselectしてしまうという、かなり衝撃的な内容。SQLインジェクションは従来だと結構地道な努力と調査をしないと有効な攻撃は難しかったのだけど、こういったツールの登場で攻撃が簡単になり、脅威となっているようだ。