トピックス 2020.12.24 SQLインジェクションでウェブサービスを攻撃する方法〜導入編〜

クレジットカードやアカウント情報の流失、ウェブサイトの不正な改ざんといったニュースを一度は聞いたことがあるのではないかと思いますが、SQLインジェクションはこのような攻撃に利用されている手法です。

今回の一連の記事の中では、このSQLインジェクションとはどのような攻撃なのかを実際に検証を行いながらご紹介していきます。

それでは、SQLインジェクションの概要を抑えるために、まずSQLという言葉に注目してみましょう。SQLとは、商品情報や顧客情報を保存しているデーターベースに対して命令を行い、情報の登録や照会、変更、削除などを行う命令文のことです。そして、インジェクションとは「注入」や「挿入」という意味を持ます。

つまり、SQLインジェクションとは、アプリケーションの脆弱性などを利用して、不当なSQLの命令文を注入されることによって、データベースのデータを不正に操作したり盗み取る攻撃のことです。

それでは続いて、SQLインジェクションによる被害の代表的な事例をいつくかご紹介します。

釣りに特化した番組配信を行う株式会社釣りビジョンでは、SQLインジェクションによってデータベースに不正にアクセスされ、顧客情報63,000件あまりが流出してしまう事件が2019年に起こっています。

また、2011年にはソニーが運営するPlayStation NetworkがSQLインジェクションの攻撃を受け、7,700万人分の個人情報が漏えいする事件も起こっています。

今回の記事では、ウェブサイトへの攻撃を行うSQLインジェクションについて、その概要や被害事例をご紹介しました。

次回の記事では、実際にSQLインジェクションを行なってデータベース情報を盗み取る手法について検証を行いながら解説を行いたいと思います。

※次回「実践編」の記事公開は12月28日（月）を予定しております。

TEXT：セキュリティ通信 編集部
PHOTO：iStock