【3/18〜】Amazon、VMwareが語る『クラウドの未来』 スラッシュドット    はてなブックマーク  Yahoo!ブックマークに登録  印刷


第6回 SQLインジェクション攻撃、ターゲットは“あなた”です


杉山 俊春
株式会社ユービーセキュア
技術本部 VEXグループ リーダー
兼 セキュリティオーディットコンサルタント
2008/6/27
(Illustrated by はるぷ)

SQLインジェクション攻撃の波は今も続いています。その被害は情報漏えいだけではなく、多くの被害者を発生させてしまう可能性もあるのです。第6回ではSQLインジェクション攻撃が引き起こす被害について解説します(編集部)

 止まらないWebページ改ざんという事件


ナツ 「あー。またたくさんやられてるのかぁー」
クウ 「どうしたんですかー?」
ナツ 「これこれ」
クウ 「ん……? 何ですかこのマーク?」
ナツ 「ここ、昨日まではショッピングサイトだったんだけどね」
クウ 「またまたぁ。あんまりショッピングサイトっぽくないっすよ」
ナツ 「うん。なんか、ついさっき改ざんされたっぽいよ」
クウ 「うひゃー」

 クウたちの身の回りでは、有名なWebページが改ざんされてしまうという事件が多発していた。TOPページが改ざんを行った組織のロゴマークに書き換えられていたり、アクセスするとウイルスをダウンロードさせる仕組みになっていたりという悪質なものである。Webページを改ざんされた企業は、顧客からの信用を失ってしまう。ウイルスをダウンロードさせる場合などには、信用を失うだけでなく、顧客に対して実害を与えてしまうことになりかねない事態となり、非常に被害の大きいものとなってしまう。

ナツ 「最近改ざんがはやってるみたいだねぇ……」
クウ 「こんなものはやらないでほしいすよっ!」
ナツ 「だねー。誰も得しないのにー」
クウ 「けど、これって、どうやって改ざんしてるんですかね。やっぱり、サーバのroot権限奪って〜とか難しいことしてんすかね」
ナツ 「今回の改ざんはWebアプリからやったみたいで、SQLインジェクションとクロスサイトスクリプティングの合わせ技みたいだよ」
クウ 「ほー。これって、Webアプリの脆弱(ぜいじゃく)性で改ざんされちゃってるんですかぁ」
ナツ 「うん。そうそう」
クウ 「けど、SQLインジェクションというと情報漏えいって気がしますけど、それだけではないんですね」
ナツ 「1つの脆弱性でも被害はいろいろあるからねぇ」

 「SQLインジェクション」と「SQLインジェクションによる被害」

 SQLインジェクションで真っ先に思い浮かべる被害は、「顧客情報の漏えい」であろう。しかし、SQLインジェクションというのはあくまで攻撃手法(脆弱性のタイプ)の名前であり、それにより起き得る被害はどの程度の攻撃が可能かという要素や、ターゲットとなるシステムの保持している情報などによって大きく変わる場合が存在する。

 SQLインジェクションは、「任意のSQL文を対象サーバ上で実行できる」というものなので、SQL文を対象サーバ上で実行した結果により可能なことがそのまま被害となり得る。データベースで管理している情報であれば、任意の情報を引き出したり、場合によっては情報の改ざんや破壊を行ったりすることが可能なのである。特にWebページ上に表示する文章をデータベースで管理している場合、当然、「Webページの改ざん」という被害が発生する。

図1 SQLインジェクションで発生し得る情報漏えいとWebページ改ざん

ユウヤ 「ほう……。なんかまた大変なことになってるみたいですね」
クウ 「おお。ユウちゃんが珍しく興味を持ってる!」
ユウヤ 「こういう情報はチェックしとかないと。お客さんとこ行ったときに話題になったりするからな」
クウ 「なんにも興味ない子だと思ってたのに」
ユウヤ

「……そんなわけあるか」

クウ 「SQLインジェクションっていったらさ、やっぱりデータベース内の情報漏えいとかじゃない?」
ユウヤ 「まあ、でも、これはどう見てもページ改ざんだな」
クウ 「SQLインジェクションでページ改ざんっていわれてもいまいちピンとこないなー」
ナツ 「ふむ。あんま時間ないけど、ちょっとだけなら教えたげよう」
クウ 「おお。ありがたき幸せです」

1/3

Index
SQLインジェクション攻撃、ターゲットは“あなた”です
Page1
止まらないWebページ改ざんという事件
「SQLインジェクション」と「SQLインジェクションによる被害」
  Page2
ところでそれは誰に対する攻撃?
能動的の反対? 受動的攻撃とは

 

Page3
なぜ攻撃者は自分のサーバを使わないのか
クウ、また1つ知識が増えました!


もいちどイチから! HTTP基礎訓練中 連載インデックス

ホワイトペーパーTechTargetジャパン

Security&Trust フォーラム 新着記事

@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)

RSSフィード

スキルアップ/キャリアアップ(JOB@IT)

- PR -
- PR -

お勧め求人情報

キャリアアップ 〜JOB@IT
@IT Special -PR-
  おばかアプリ選手権、第4弾開催中!!
ムダにカッコよくてくだらない作品求ム!

  社内ファイルサーバを“クラウド”に統合
VPN直結「クラウド型ストレージ」を紹介

  Twitterのアカウントはなぜ突破された?
メールによる新手の攻撃手法とその対策

  もう仮想化のお試しフェイズは終わりだ!
Hyper-V 2.0が基幹システムも仮想化

  美人!? まあまあ? 気になる いやし系!!
PV急増で「美人時計」がとった手段とは?

  クライアント企業から求められる人材
⇒IT技術と経営戦略を併せ持つ「戦略家」

  .NET編集長が実践する「技術情報検索術」
サンプル・コードを簡単に探す“技”は?

  業務効率と情報セキュリティ対策を両立!
手間なく確実に機密情報を守る方法とは?

  直属上司が海外にいるのエンジニアに見る
【実例】場所に捉われないワークスタイル

  「仮想化工房」のマイスターが選んだのは
VMware、Hyper-V、そしてVirtageだった!

  進化を続ける富士通ストレージETERNUS DX
製品開発者の自信を裏付けるものとは何か

  運用管理の課題を“2つの観点”から分析
ユーザー満足度の高い「仮想環境」とは?

  【CTC事例】約30の基幹システムを統合!
膨大なバッジジョブを制御した方法は?