わかりやすく!情報セキュリティ講座012 SQLインジェクションってなに?

  • このエントリーをはてなブックマークに追加
  • Pocket
  • LINEで送る

前回はウェブサイトやブログを運営する上での脅威となるクロスサイトスクリプティングについてお話しましたが、ウェブサイトやブログを運営するうえでの脅威はそれだけではありません。

今回は「SQLインジェクション」についてお話していきます。

「SQLインジェクション」とは何か?

SQLインジェクションの攻撃手順と影響

データベースと連携して動作するWebサイトやブログでは、外部から入力された値を元にSQL文(データベースへの命令文)を組み立てることがあります。

ところがSQLインジェクションに対する脆弱性を持つサイトでは、入力された値によっては意図しないデータベースへの命令文が生成されて、結果として不正にデータベースが操作されることでデータが読み取られたり、データが改ざんまたは削除されたりするなどの被害を受ける可能性があります。

個人でレンタルサーバーなどを借りて独自のウェブサイトやブログを運営している方が主に被害の想定として該当しますが、データベースを乗っ取られるわけですから、乗っ取られたデータベースに保存されている情報が抜き取られてしまいます。

インターネットユーザーにも無関係なわけではありません。

SQLインジェクション攻撃の被害にあったウェブサイトに会員登録やクレジットカード情報などを登録していた場合、それらの情報も抜き取られて悪用につながります。

 

ウェブサイト運営者が取るべき対策方法

入力された値をそのまま使用してSQL文を組み立てることが問題の原因ですので、データベースのプリペアドステートメント(準備された文)という仕組みを使用してSQL文を組み立てるようにします。

プリペアドステートメントとは、実行したいSQLをコンパイルした一種のテンプレートのようなもので、テンプレート中に変数の場所を示す箇所(プレースホルダ)を置いておき、プログラム実行時に実際の値をセット(バインド)します。

プリペアドステートメントを用いることで想定外のSQL文が組み立てられる現象を回避できるため、SQLインジェクションの根本的な対策となります。

サーバーレンタル業者側でSQLインジェクションに対応していたり、攻撃から守るためのツールが公開されていることもありますので、ウェブサイト運営者の方はぜひ対策を打っていただきたいと思います。

 

インターネットユーザー側に求められる対応

SQLインジェクションでは、上でお話した通り、ウェブサイトの運営者だけでなく、そのサイトに会員登録やクレジットカード情報の登録をしているユーザーにも影響が及びます。

この点を踏まえると、インターネットユーザーには以下のような対応が求められるといえます。

  1. インターネット上で不特定多数のサイトに個人情報を登録しない
  2. 安易にクレジットカードや銀行口座の情報を登録しない
  3. 怪しいと感じるサイトにはアクセスしない

ネット上のサイバー攻撃は、どれも被害が多方面に広がることが共通事項です。

自分の身は自分で守りきるという自覚を持ってインターネットにアクセスすることが大切です。

 

次回は、あなたも知らないうちに加害者かも?? という「DoS攻撃」(通称F5アタックともいう)についてお話したいと思います。

 

最後までお読みいただき、ありがとうございました。

スポンサーリンク

1 2 3 4 5

Mobile Security & Antivirus

Mobile Security & Antivirus
¥ 0
ASIN: B00DREKMPO
ESET
Optimized for Amazon Kindle Fire Tablets (Kindle Fire 1st Generation not supported)

ESET ファミリー セキュリティ (最新版) | 5台3年版 | カード版 | Win/Mac/Android対応

ESET ファミリー セキュリティ (最新版) | 5台3年版 | カード版 | Win/Mac/Android対応
¥ 6,000
ASIN: B06XPZCX11
キヤノンITソリューションズ
本商品はA6(105mm×148mm)のカード型で、記載のコードを指定のURLにアクセスして入力するとご使用できます。
本商品はA6(105mm×148mm)のカード型で、記載のコードを指定のURLにアクセスして入力するとご使用できます。 【4年連..

決定版 サイバーセキュリティ: 新たな脅威と防衛策

決定版 サイバーセキュリティ: 新たな脅威と防衛策
¥ 1,944
ASIN: 4492762450
東洋経済新報社

ノートン セキュリティ プレミアム (最新) | 3年 3台版 | パッケージ版 | Win/Mac/iOS/Android対応

ノートン セキュリティ プレミアム (最新) | 3年 3台版 | パッケージ版 | Win/Mac/iOS/Android対応
¥ 12,064
ASIN: B01LYASXCT
シマンテック
ノートンは、世界のセキュリティ・テクノロジーをリードし続ける防御力を誇りながら、実感できるレベルの使いやすさ。
●商品概要:使いやすく、強力な保護機能をもつウイルス対策ソフト●商品詳細:使いやすく、強力な保護機能をもつウイルス..

ユピテル Aguilas 専用工具不要 簡単取付ソーラー充電対応 リモコン付属カーセキュリティ VE-S37RS

ユピテル Aguilas 専用工具不要 簡単取付ソーラー充電対応 リモコン付属カーセキュリティ VE-S37RS
¥ 10,891
ASIN: B003LNWMDQ
ユピテル(YUPITERU)
生産国:日本
◆簡単取り付け&操作で愛車にセキュリティ対策◆ジャッキアップ(傾斜)も検知するシリーズ最上位モデル◆離れた場所でもリモコンに通報◆ソーラーパワーで長時間駆動 /

Dr.Web Anti-virus Light

Dr.Web Anti-virus Light
¥ 0
ASIN: B004XE5UA4
Doctor Web, Ltd
Keep tabs on all areas of your device's file system

ハッキング・ラボのつくりかた 仮想環境におけるハッカー体験学習

ハッキング・ラボのつくりかた 仮想環境におけるハッカー体験学習
¥ 4,104
ASIN: 4798155306
翔泳社

カスペルスキー セキュリティ (最新版) | 3年 5台版 | パッケージ版 | Windows/Mac/Android対応

カスペルスキー セキュリティ (最新版) | 3年 5台版 | パッケージ版 | Windows/Mac/Android対応
¥ 9,574
ASIN: B075WYVW3Q
KasperskyLabs Japan
セキュリティソフトの性能比較テストで、7年連続1位を獲得(第三者評価機関 AV-Comparativesでの評価)
●ウイルス対策、危険なWebサイトへのアクセス防止、ネット決済時の保護など、インターネットを安全に使うために必要なセキュリティ..

イラスト図解式 この一冊で全部わかるセキュリティの基本

イラスト図解式 この一冊で全部わかるセキュリティの基本
¥ 1,814
ASIN: 4797388803
SBクリエイティブ

ウイルスセキュリティZERO 1台用 4OS(最新)|Win/Mac/Android/iOS対応

ウイルスセキュリティZERO 1台用 4OS(最新)|Win/Mac/Android/iOS対応
¥ 1,507
ASIN: B07BGZ238J
ソースネクスト
一度インストールした端末で無期限で使用できるZEROウイルスセキュリティがMac対応に!
●新たにMacにも対応し4OS完全対応(Windows/Mac/Android/iOS)。●一度インストールした端末で無期限で使える。●新しいOSがリリースされても追加費用無し..

1 2 3 4 5

CS Shop
  • このエントリーをはてなブックマークに追加
  • Pocket
  • LINEで送る

SNSでもご購読できます。

Translate this page

おススメのページ

%d人のブロガーが「いいね」をつけました。