SQLインジェクションとは、データベースへの命令であるSQL文を不正に書き換え送信することができる脆弱性、およびその脆弱性を利用した攻撃方法を指します。これにより、データベースに保存されている顧客情報が流出したり、保存されている情報が書き換えられるなどの被害が生じます。
SQLインジェクションの脆弱性は、「WEBサイト利用者が入力した内容をデータベースの情報と照合したり、データベースに登録する機能に多く存在します。例として、前者はECサイトの商品検索機能、後者は会員登録機能が挙げられます。
SQLインジェクションの攻撃方法や被害事例について解説します。
まずはじめに、SQLインジェクションの脆弱性を利用された攻撃方法の一例と被害事例についてご紹介します。
2008年、ECサイトのサウンドハウスにSQLインジェクション攻撃が行われ、最大10万人近くの利用者のログインパスワードやクレジットカード情報を含む個人情報が流出しました。これにより、多数の利用者に対する補償が行われる事態となりました。参考:「不正アクセスに伴うお客様情報流出に関するお詫びとお知らせ」 (https://www.soundhouse.co.jp/company/news/pdf/20080418.pdf)
以上のような方法で攻撃者はSQLインジェクションを利用した攻撃を行ってきます。昨今では、クラウド環境への移行で従来のデータベースが抽象化されていますが、SQLを悪用されると、クラウド環境でも同様にデータベースに不正アクセスされるため、被害を受けるリスクに変わりはありません。数々のセキュリティ機能が備わっているからと安心せずに、クラウドでも脆弱性診断などを実施し、セキュリティ対策できているかチェックすることが重要です。
お見積り・ご相談など、お気軽にご相談ください
サイトTOPへ
