@article{oai:ipsj.ixsq.nii.ac.jp:00214349,
 author = {黒木, 琴海 and 鐘本, 楊 and 青木, 一史 and 野口, 靖浩 and 西垣, 正勝 and Kotomi, Kuroki and Yo, Kanemoto and Kazufumi, Aoki and Yasuhiro, Noguchi and Masakatsu, Nishigaki},
 issue = {12},
 journal = {情報処理学会論文誌},
 month = {Dec},
 note = {Structured Query Language（SQL）インジェクションはいまだに多発しており，個人情報の漏洩といった重大な被害を引き起こす攻撃である．Web Application Firewall（WAF）はSQLインジェクションにも対応しているが，多くの場合，検知の機能のみが用いられ，検知した攻撃の分析は人手で行われている．しかし，SQLインジェクションは大量に発生するため，WAFによって検知されたすべてのSQLインジェクションを人手で分析することは困難である．本稿では，攻撃対象のシステムの内部情報の利用や，分析用の詳細ログを収集するためのシステムの改変が困難な状況を想定して，HTTPリクエストに含まれる部分的なSQL文を分析対象に攻撃フェーズを識別する手法を提案する．提案手法では，WAFアラートに関連するHTTPリクエストに含まれる部分的なSQLクエリのみを解析対象として，初期状態のDBMSを用いて動的解析することで攻撃対象システムの内部情報や対象システムの改変を必要としない．評価より，提案手法は人工データセットに対して78.1%の精度で正しく識別できたこと確認した．また，提案手法により，実環境で約5割の被害を及ぼさないフェーズにある攻撃を識別し，これを分析から除外することで人手分析の稼働を減少できる効果がある可能性を示す．, Structured Query Language (SQL) injections are still one of the major reasons that lead to serious damage such as leakage of personal information. Web Application Firewalls (WAFs) are used to detect SQL injections, but manual analysis of the detection result is also required because of false positives. However, since a large amount of SQL injection occurs, it is difficult to manually analyze all the SQL injections detected by the WAF. In this paper, we propose a method to identify the phase of a SQL injection in order to improve the efficiency of manual analysis. In the proposed method, only the partial SQL query included in the HTTP request related to the WAF alert is analyzed. The proposed method do not use the internal information of the attack target system and also do not modify the target system. The attack SQL query is dynamically analyzed using a emulator. Evaluation results revealed that the proposed method was able to correctly identify the intention with an accuracy of 78.1% and 73.8% for an artificial dataset and a real-world dataset respectively. We also show that the proposed method possibly reducing the operation time of manual analysis by identifying over 50% SQL injection attacks that does not cause any damage.},
 pages = {1985--1995},
 title = {SQLインジェクション攻撃対象の内部情報に依存しない攻撃フェーズ識別手法},
 volume = {62},
 year = {2021}
}