SQLインジェクションへの対策方法7つ｜SQLインジェクションの事例

SQLインジェクションとは？

SQLインジェクションとは、アプリケーション上でユーザーが入力可能なテキストボックスなどを利用して、不正にデータベースを操作、検索するSQL文を入力する攻撃手法です。

例えば、IDとパスワードを入力する欄の条件が、「ID=入力したID AND PASS=入力したPASS」でログイン可能であれば、パスワード入力欄に「”B” OR “A”=”A”」と入力すれば、IDとパスワードが合わずとも、AがAであるという当たり前の条件に当てはまります。

そのことによってログインできてしまうということです。

SQLインジェクションによって起こる影響

SQLインジェクションによって、個人情報の漏洩やウェブサイトの改ざんの危険性があります。

SQLインジェクションによる被害は大規模になる事例が多くあり、対策を怠れば大惨事になりかねません。

個人情報の漏洩

SQLインジェクションによって、個人情報が漏洩してしまう危険性があります。

SQLインジェクションによる個人情報の漏洩は、個々でIDやパスワードが漏洩したケースとは違い、そのWebサービスを利用している全ユーザーの個人情報が漏洩してしまう可能性があります。

実際に、SQLインジェクションによる個人情報の漏洩被害があった事例では、一度に多くの顧客情報が流出してしまうケースも数多く存在しています。

ウェブサイトの改ざん

SQLインジェクションによって、ウェブサイトを改ざんされてしまう危険性があります。

Webサイト改ざんでは、Webサイトのサービスを脅かすだけでなく、Webサイトの利用者が巻き込まれ、Webサイトの利用者が改ざんされたページを開いた時にマルウェアが実行されてしまう可能性があります。

また、データベースを利用した改ざんは大規模な影響になる可能性もあります。

SQLインジェクションへの対策7つ

SQLインジェクションへの対策を怠れば、攻撃を受けた際に利用者に多大な被害をもたらし、Webサービスの信用を大きく落とす結果となってしまう可能性があります。

そうならないためにも、SQLインジェクションへの対策を7つご紹介します。

対策1：セキュリティソフトの導入

セキュリティソフトの導入によって、Webサイトの利用者はSQLインジェクションによる攻撃を抑えることができます。

SQLインジェクションに限らず、さまざまなWeb上の攻撃はセキュリティソフトによって守られます。しかし、これはWebサイトの利用者側の対策であって、Webサイトの管理者側の対策にはなりえないでしょう。

対策2：エスケープ処理を行う

エスケープ処理を行うことで、SQLインジェクションの攻撃を防ぐことができます。エスケープ処理とは、プログラム上で特別な意味を持つ文字や記号を、別の文字に変換することです。

これにより、SQLインジェクションを行う際によく使用される「＝」、「”」、「’」などを、データベースに渡る前に、まったく別の文字に変換し、SQLインジェクションによる攻撃を妨げます。

対策3：権限の設定をする

正確に権限の設定をすることで、SQLインジェクションによる攻撃を抑えることができます。

ユーザー、テキストを入力できる場所からのデータベースへのアクセス権限を正確に付与すれば、SQLインジェクションによって想定外のテーブルなどにアクセスされることはなくなるでしょう。

例えば、SELECTの権限設定を正確に設定すれば、SELECT文によって情報漏洩するリスクはなくなります。

対策4：想定している文字以外の入力を禁止する

それぞれの入力欄に対して、想定している文字以外の入力を禁止することによって、SQLインジェクションによる攻撃を抑えることができます。SQLインジェクションでは、特定の文字を利用しなければ、攻撃することが困難な攻撃手法です。

例えば、郵便番号や電話番号の入力欄には、半角数字以外の入力を禁止することで、SQLインジェクションを行うことを防ぎます。

対策5：ユーザーが入力可能な場所を減らす

ユーザーが入力可能な場所を減らすことで、SQLインジェクションによる攻撃を抑えることができます。

SQLインジェクションでは、ユーザーが直接入力可能なテキストボックスなどを利用して行う攻撃手法なので、その場所を減らすことは対策と考えられます。例えば、住所を入力する欄では、都道府県と市区町村を選択式にして、ユーザーの直接入力可能な場所を減らすことができます。

対策6：プログラム上でヒントになりうるコメントを残さない

プログラム上でヒントになりうるコメントを残さないようにすることで、SQLインジェクションによる攻撃を抑えることができます。開発途中で記載したSQL文に関するコメントが、攻撃者にとってのヒントになる可能性があります。

SQL文そのものを記載したものはもちろん、ヒントになりそうなコメントは極力なくしましょう。

対策7：ペネトレーションテストを行う

ペネトレーションテストを行うことで、SQLインジェクションによる攻撃への対策を行うことができます。ペネトレーションテストとは、Webサイトなどの管理側が自らのサイトに攻撃を仕掛け、脆弱性を炙り出すことができるテスト手法です。

自らSQLインジェクションを行える余地があるかを探り、SQLインジェクションを実行し、成功した場合にはその箇所に対策をすることができます。

おすすめのSQLインジェクション対策ソフト

SQLインジェクションの対策になるセキュリティ対策ソフトは数多く存在します。

コストを抑えたいのであれば「ZERO ウイルスセキュリティ」を、高い実績を得ているソフトを使用したいのであれば「カスペルスキー セキュリティ」がおすすめです。

また、一つのコンピュータだけでなく多くの端末に対応した対策ソフトを適用したいのであれば「マカフィー リブセーフ」をおすすめします。

SQLインジェクションの被害事例3つ

SQLインジェクションの対策を怠ると、大きな被害を起こしてしまう可能性があります。また、SQLインジェクションの対策を十分に行ったつもりでいても、攻撃者はセキュリティホールを見つけ、攻撃を試みます。

ここからは、SQLインジェクションの標的となってしまい、大きな被害を起こしてしまった事例を3つご紹介します。

事例1：PlayStation Network個人情報盗難

この事件では、PSNに大規模なアクセスエラーが生じ、原因はSQLインジェクション攻撃を受けたことだと判明しました。

多くの個人情報が流出したものの、クレジットカードの情報だけは暗号化していたため、クレジットカードの不正利用の被害を受けることはありませんでした。

しかし利用者の他にも被害が及んでおり、PSNと共通のネットワークを利用しているQriocityも一時サービス停止に追い込まれました。

事例2：釣りビジョン個人情報盗難

この事件ではSQLインジェクションにより、ユーザーの情報を保有するデータベースから個人情報が流出してしまいました。

この攻撃は脆弱性診断ツールを利用してSQLインジェクションが行われたため、釣りビジョンはこれをきっかけに、さまざまなセキュリティ対策を強化することになりました。

事例3：政府・自治体・商用サイトの改ざん

SQLインジェクションによる被害は、政府・自治体・商用サイトまで手が伸びてしまっています。

政府・自治体・商用サイトなどを改ざんすることによって、攻撃しやすい仕組みを作ったり、悪意のあるサイトへ誘導するなどされ、ユーザーが無意識に自身の個人情報を流出させてしまった事例も数多く存在しています。

政府・自治体・商用サイトなどの多数のユーザーの情報を持つWebサイトは、攻撃を受けた時のリスクも大きくなるので、対策を十分に行う必要があります。

SQLインジェクションを防ぐために対策を知っておこう！

本記事でご紹介した事例のように、SQLインジェクションによる被害は、サービスを利用する全ユーザーに及ぶ可能性があります。

サービスの管理者は、対策を十分にしなければSQLインジェクション攻撃を受けた際に、ユーザーに多大な被害を与えてしまうので、本記事でご紹介した対策を参考にしてSQLインジェクションに備えましょう。

ユーザーは、セキュリティ対策ソフトを導入するなどして、改ざんされたWebサイトのマルウェアによる被害を抑えましょう。