平成17年7月7日
警 察 庁
公開システムに接続されたデータベースサーバの安全対策について
1 概要
最近、公開システムに接続されたデータベースサーバに対し、不正な手段を用いて内部に蓄積された個人情報等を窃取する事案が発生しておりますので、データベースサーバの管理者はご注意下さい。
2 データベースサーバ管理者の注意
情報漏えい事案では、データベースサーバに対する既知の攻撃手法が用いられている場合が多く見られております。このため、既知の攻撃手法について適切な対策が取られるようご注意下さい。
(既知の攻撃手法の例)
- SQLインジェクション攻撃
- エラー発生時の不用意な情報表示による情報取得
(対策の例)
- データベースサーバに送られるコマンドに不正なものが含まれていないかどうかをチェックする仕組みを点検する。
- エラー画面に不用意な情報を表示するような設定・運用をしないように注意する。
- ※
- システムの保守を外部に委託している場合には、委託先等に対策の点検を発注するなどしてください。