情報セキュリティリスク


SQLインジェクションによる顧客情報流出

 警視庁サイバー犯罪対策課は2015年1月22日に、他人のクレジットカードで商品を購入したとして川崎市多摩区の20歳の容疑者を逮捕した。北九州市の80歳代女性のID・パスワードで大手通販サイト「楽天市場」にログインし、女性のクレジットカード情報を使ってスマートフォン1台(約4万2800円)を購入した疑いだ。
容疑者はご当地グルメを検索することのできる会員サイトに対してSQLインジェクション攻撃を行い、ID・パスワードを盗み取っている。入手したID・パスワードを利用して犯行に臨んでいる。

SQLインジェクションとは

 ホームページの問合せページなど入力フォームにて不正なコードを入力し、そのコードをデータベースで処理してしまうことにより、情報を盗み取ったり書き換えたりすることである。アプリケーションのセキュリティ不備を利用した攻撃である。

SQLインジェクション攻撃

SQLインジェクションに弱いサイト

 上記の説明のように、SQLインジェクション攻撃はホームページの問合せページなど入力フォームから不正なコードを投入することで実行する。本来は名前などのテキスト入力を考えている箇所に、データベースから情報を抽出する<select>文や、任意の命令を実行する<script>文が入力された際、命令を実行してしまうサイトはSQLインジェクションの被害にあう恐れが非常に高いサイトだと言えます。命令文をテキストに置き換えるエスケープ処理などを施しておく必要があります。

コンタクト情報

Topics

Top