入社一年目のSCTセキュリティ奮闘記　～第二回　SQLインジェクションとは？～

こんにちは。学生時代の長期休みが恋しくてたまらない社会人1年目のShinoです。

前回は「脆弱性」に関する記事を書きました。
（↓まだ見てないという方はそちらもぜひご覧ください。）
入社一年目のSCTセキュリティ奮闘記　～第一回　脆弱性とは？～

今回は「SQLインジェクション」に関して書きます。

SQLとは、データベースにあるデータを操作・定義するためのプログラム言語のことです。
「SQLインジェクション」は、その弱点を突いて大切なデータを抜いたり、壊したりする攻撃方法のことです。

具体的には、SQL文の穴埋め部分に、プログラム作成者が意図しないような内容を入れることで、おかしな動きをさせて、操作します。

私自身は、SQLという言葉自体、入社してから知ったのですが、インジェクション（注入）という言葉は、以前から聞きなじみのある言葉でした。
というのも、大学時代にステーキ屋でアルバイトをしていたときに、その店の看板商品が「インジェクション加工肉」というものだったからです。生肉に牛脂を注入し、焼いたときに肉汁があふれるので、すごくジューシーなお肉です...！

...話を戻しますと、SQLインジェクションは前回お話しした脆弱性の一つに含まれ、悪意ある攻撃者はSQL文を弄って、データベース内のデータを改ざんしたり、流出させたりします。

2011年には、有名な日本生まれの企業で、SQLインジェクションにより約7,700万人の個人情報が漏洩した可能性があるという事件が起きました。
個人情報のなかには、氏名、住所、Eメールアドレス、クレジットカード番号、生年月日、パスワード、オンラインID、購入履歴、請求先住所、パスワード再設定用の質問への回答等のプロフィールデータが含まれていました。幸いにも金銭的な被害は確認されなかったものの、企業にとって主軸コンテンツであったため、約一か月もの間システムを停止しなければならなかったそうです。

SQLインジェクションは数あるサイバー攻撃の中でも特に有名なものとして知られていますが、実際に被害を受けると、その被害額は1社につき1億円を超えるケースがほとんどです。すぐに捻出できる金額ではないため、1億円もの負債を抱えるのを想像するだけでも怖いですね。

宣伝になりますが、SQLインジェクションの対策には、セキュリティ上の穴を見つける「脆弱性診断」がおすすめです。
自動脆弱性診断サービスのSCT SECUREクラウドスキャンは、SQLインジェクションのほかにも、バックドア攻撃やブルートフォース攻撃など10,000以上の脆弱性と5,000以上の攻撃パターンでWebアプリケーションとネットワークを診断します。

いつでも診断できますのでぜひこちらまでお問い合わせください。