攻撃ツールはほぼ撃退
実際の攻撃ツールを使った検証3では,中国語で「注入工具」と呼ばれる「HDSI2.2」「Pangolin1.3」という2種類のツールを試した。いずれも,SQLインジェクションを使い,DBの属性情報やデータを盗み出したり,改竄したりする機能を持っている。
Pangolinを使うと,SecureSphereでDBの属性情報を取られることが分かった(図6,表3)。ただしこれも,SecureSphereの設定の問題だった。設定変更すれば攻撃は失敗した。
図6●攻撃ツール「Pangolin」でDBの属性情報を取得したところ
[画像のクリックで拡大表示]
表3●攻撃ツールで不正アクセスを仕掛けたときの検証結果
[画像のクリックで拡大表示]
攻撃ツールは一般に,入力フォームなどを持つWebページを集中的に攻撃する。このような攻撃には,Citrixが独自に持つ機能が効果的である。Citrixは,ユーザーがアクセスしたWebページの順序をすべて監視し,許されない順序だとアクセスを遮断する機能がある。攻撃ツールが特定のページを狙ったような場合は防御できる可能性が高く,今回の検証でもこの機能が有効に働いたと見られる。
