少し専門的になり、恐縮ですが、データベースを使用したWebサーバーに対するSQLインジェクション攻撃に関して、注意を喚起します。
SQLインジェクション攻撃というのは、データベースを使用しているWebサイトで、入力フォームを使用してユーザーが入力した情報を元に何らかの情報を表示するような、多くのサイトが対象となるハッカーの攻撃手法のことです。

入力フォームというと、Yahoo!のID・パスワードを入力するところもそうですし、Googleの検索文字を入力するところもそうですし、銀行の口座番号を入力するところもそうです。こういった入力フォームに不正な文字列を流し込み、データベースに意図しない動きを発生させるのが、SQLインジェクション攻撃です。

ここ数年の間に、SQLインジェクション攻撃はいくつも発生し、大規模な被害を引き起こしています。

2008年4月 サウンドハウス事件
2007年5月 好日山荘事件
2007年5月 再春館製薬所事件
2005年5月 カカクコム事件

もともと、SQLインジェクション攻撃は、データベースに格納された個人情報を盗み出すことが目的でした。しかし、最近の事件ではどうも様子が違ってきているようです。

SQLインジェクション攻撃を使用して、ユーザーの画面に不正ソフトウェア(ウイルス)をダウンロードさせるURLを組み込み、気づかないままに不正ソフトウェアをダウンロードさせてしまうとのことです。この方法であれば、自社のデータベースには個人情報があってもなくても、個人情報の漏えいの片棒をかつがされてしまう危険性があるということです。

上記に記した各社は、あくまで「自社の個人情報が漏えいした」として個人情報漏えい事件を発表しています。

しかし、自社の個人情報は漏えいせず、単に不正ソフトウェアのばら撒きに関与してしまっただけの場合は、どうなるのでしょうか?もちろん、お客様に迷惑をかけてしまっているわけですから、情報セキュリティ事故として取り扱う必要があるでしょう。しかし、Webサイトの管理者・運営者も気づかないままに、SQLインジェクションの被害を受けて、日々不正ソフトウェアを配布しているサイトがあるのかもしれないのです。

ちょっと恐ろしい話です。

しかし、SQLインジェクションは、ちょっと気をつければ対策ができるようです。下記にリンクを貼ったIT Proの記事によれば、入力文字列の中に「<」などの特殊文字があれば、それをデータベースに入れる前のプログラムではじいてしまえばいいということです。この対策は、カカクコム事件が起こるずっと前から、行われていて当たり前のことでした。基本的には、当たり前のことを当たり前に行っていれば、SQLインジェクション攻撃は防げる、そういうことのようです。

データベースを組み込んだWebサイトを運営している全ての管理者・運営者の皆さんは、自社のWebサイトがSQLインジェクション攻撃を受けていないか、よく気をつけていただきたいと思います。

http://itpro.nikkeibp.co.jp/article/COLUMN/20080514/301660/
本Blog内検索結果「SQLインジェクション」
Google検索結果「SQLインジェクション」



●週に一回程度、更新情報をお届けします。
こちらからメールアドレスをご登録ください。
(まぐまぐのシステムを利用しています)