サービスに関する
お問い合わせ

緊急対応 専用窓口

セキュリティの緊急事態が発生したらご遠慮なくお問い合わせください。ご相談は無料です。

SHIFT SECURITY

クラウドセキュリティの
学び場

SHIFT SECURITY クラウドセキュリティの学び場 用語・国際規格 SQLインジェクション|サクッと読めるセキュリティ用語解説

SQLインジェクション|サクッと読めるセキュリティ用語解説

サクッと読めるセキュリティ用語解説 SQLインジェクション
目次
  • SQLインジェクションの概要
  • SQLインジェクションの攻撃イメージと被害事例

SQLインジェクションの概要

SQLインジェクションとは、データベースへの命令であるSQL文を不正に書き換え送信することができる脆弱性、およびその脆弱性を利用した攻撃方法を指します。これにより、データベースに保存されている顧客情報が流出したり、保存されている情報が書き換えられるなどの被害が生じます。

SQLインジェクションの脆弱性は、「WEBサイト利用者が入力した内容をデータベースの情報と照合したり、データベースに登録する機能に多く存在します。例として、前者はECサイトの商品検索機能、後者は会員登録機能が挙げられます。

SQLインジェクションの攻撃イメージと被害事例

SQLインジェクションの攻撃方法や被害事例について解説します。
まずはじめに、SQLインジェクションの脆弱性を利用された攻撃方法の一例と被害事例についてご紹介します。

SQLインジェクションの脆弱性を利用された攻撃例(例:ECサイト)


  1. 1)SQLの脆弱性を発見される
     攻撃者がECサイトの商品検索機能にSQLインジェクションの脆弱性を発見。
  2. 2)命令文が送信される
     攻撃者は、ECサイトの検索フォームにSQL文を含んだ文字列を入力し、送信する。
  3. 3)情報漏洩が起こる
     攻撃者が送信した不正なSQL文が実行され、データベース内に存在する会員情報の一覧が検索結果として表示される。

SQLインジェクションの被害事例

2008年、ECサイトのサウンドハウスにSQLインジェクション攻撃が行われ、最大10万人近くの利用者のログインパスワードやクレジットカード情報を含む個人情報が流出しました。これにより、多数の利用者に対する補償が行われる事態となりました。参考:「不正アクセスに伴うお客様情報流出に関するお詫びとお知らせ」 (https://www.soundhouse.co.jp/company/news/pdf/20080418.pdf)

以上のような方法で攻撃者はSQLインジェクションを利用した攻撃を行ってきます。昨今では、クラウド環境への移行で従来のデータベースが抽象化されていますが、SQLを悪用されると、クラウド環境でも同様にデータベースに不正アクセスされるため、被害を受けるリスクに変わりはありません。数々のセキュリティ機能が備わっているからと安心せずに、クラウドでも脆弱性診断などを実施し、セキュリティ対策できているかチェックすることが重要です。

あなたの疑問を一緒に解決します!

解説してほしい用語や技術、仕組みについての疑問、
みなさまのクラウドセキュリティのお悩みに関して技術者が記事にして回答します!
ぜひご気軽にご投稿ください。

クラウドの脆弱性診断にご興味があるかたはこちら

この記事の著者 廣政 龍亮

2016年よりSHIFTのグループ会社に入社し、主にソフトウェアテストに従事。2017年よりSHIFT SECURITY案件に配属される。同案件ではWEB脆弱性診断のテスト実行や案件管理を経て、現在はテストケース標準化に携わる。

\ 記事をシェアする /

サービスに関する
お問い合わせ