セキュリティの
学び場

ＳＱＬインジェクションの概要

SQLインジェクションとは、データベースへの命令であるSQL文を不正に書き換え送信することができる脆弱性、およびその脆弱性を利用した攻撃方法を指します。これにより、データベースに保存されている顧客情報が流出したり、保存されている情報が書き換えられるなどの被害が生じます。

SQLインジェクションの脆弱性は、「WEBサイト利用者が入力した内容をデータベースの情報と照合したり、データベースに登録する機能に多く存在します。例として、前者はECサイトの商品検索機能、後者は会員登録機能が挙げられます。

ＳＱＬインジェクションの攻撃イメージと被害事例

SQLインジェクションの攻撃方法や被害事例について解説します。
まずはじめに、ＳＱＬインジェクションの脆弱性を利用された攻撃方法の一例と被害事例についてご紹介します。

SQLインジェクションの脆弱性を利用された攻撃例（例：ECサイト）

1. １）SQLの脆弱性を発見される
   　攻撃者がECサイトの商品検索機能にSQLインジェクションの脆弱性を発見。
2. ２）命令文が送信される
   　攻撃者は、ECサイトの検索フォームにSQL文を含んだ文字列を入力し、送信する。
3. ３）情報漏洩が起こる
   　攻撃者が送信した不正なSQL文が実行され、データベース内に存在する会員情報の一覧が検索結果として表示される。

SQLインジェクションの被害事例

2008年、ECサイトのサウンドハウスにSQLインジェクション攻撃が行われ、最大10万人近くの利用者のログインパスワードやクレジットカード情報を含む個人情報が流出しました。これにより、多数の利用者に対する補償が行われる事態となりました。参考：「不正アクセスに伴うお客様情報流出に関するお詫びとお知らせ」　(https://www.soundhouse.co.jp/company/news/pdf/20080418.pdf)

以上のような方法で攻撃者はSQLインジェクションを利用した攻撃を行ってきます。昨今では、クラウド環境への移行で従来のデータベースが抽象化されていますが、SQLを悪用されると、クラウド環境でも同様にデータベースに不正アクセスされるため、被害を受けるリスクに変わりはありません。数々のセキュリティ機能が備わっているからと安心せずに、クラウドでも脆弱性診断などを実施し、セキュリティ対策できているかチェックすることが重要です。