「Secure by Design」キャンペーンの一環として、FBI と米国サイバーセキュリティ機関 CISA は、SQL インジェクションの脆弱性に対処するための開発者向けのガイドラインを公開しました。
CISA と FBI によって開始されたこのプログラムは、ソフトウェア開発者に SQL インジェクション攻撃の可能性について通知および警告し、緩和テクニックを提供することを目的としています。
「Secure by Design Alert」は、数千のユーザーに影響を与えた Moveit Transfer の欠陥に対応してリリースされました。これらのセキュリティ問題の深刻さと頻繁な発生は、「ソフトウェアにおける SQL インジェクション脆弱性の排除」というガイドで強調されています。 20-%20Elimination%20SQL%20Injection%20Vulnerabilities%20in%20Software_508c.pdf)」。
SQL インジェクションの脆弱性は 20 年以上にわたって徹底的に文書化されており、それらを回避する方法がテストされています。それにもかかわらず、ソフトウェア開発者はこれらの脆弱性を備えた製品をリリースし続けており、多数のユーザーを危険にさらしています。 SQL インジェクションは、2007 年には MITRE Corporation によって重大な脆弱性として分類されましたが、依然として頻繁に発生するセキュリティ問題です。
CISA および FBI ハンドブックでは SQL の脆弱性が詳細に説明されており、MySQL が 2004 年にリリースした「プリペアド ステートメント」を使用するなどの対策を提案しています。これらのステートメントは、入力サニタイズよりも安全な方法を提供しますが、入力サニタイズは多くの場合効率が低く、広く展開するのがより困難です。これらは、SQL コードをユーザー データから分離するのに役立ちます。
このガイドラインはさらに、ソフトウェア会社のリーダーが、おそらく正式なコードレビュー、既知のセキュリティ脆弱性の透明性のある報告、CVEの作成、セキュリティに重点を置いた組織再編を通じて、顧客のセキュリティの責任を負うことを推奨しています。
「Secure by Design」キャンペーンは、CISA およびグローバル パートナーの支援を受けて、ソフトウェア開発ライフサイクルのあらゆる段階でのセキュリティ対策の統合を促進します。 SQL インジェクションへの対処に加えて、フィッシング防止に関するガイドを提供し、デフォルトのパスワードの使用に関連するリスクを強調しています。これらすべての目的は、より安全なオンライン環境を促進することです。