しかしJSOCのレポートによると、2005年初めはほとんど攻撃は観測されていない。攻撃件数が徐々に増えたのは4月以降で、10月からは大幅に増加。2005年12月には60件を超える攻撃活動が観測された。また攻撃元のホストを国別に見ると、中国が81％で大半を占めているという。
　ラックはこうした現象の背景に、「中国語のWebサイトでSQLインジェクションを実行するツールが数多く配布されていること」があると指摘。JSOCでの攻撃検知事例の分析結果からも、多くの攻撃がこうしたツールを用いて行われていることが分かったという。こうしたツールを「技術力の低い攻撃者でも容易に悪用できる」ことが、攻撃件数の増加につながっているとの推測だ。