お役立ちコラム
2023/05/02
よくわからない不正アクセス:SQLインジェクション攻撃の手口を解説。
SQLインジェクション攻撃の手口と事件の事例、簡易な対策を整理しました。
【事例】
株式会社SODAが運営するスニーカーマーケットプレイス「SNKRDUNK」においてSQLインジェクション攻撃で約275万件の個人情報が漏えい
【不正の手口】
検索ボックスなどを介してデータベースに対して、想定しないSQL文を連続投入。
【対策】
- パラメータ化されたクエリを使用する
- 入力データのエスケープ処理を行う
- 入力値の検証を実施する
- データベースのアクセス権を最小限に制限する
- セキュリティ設定を強化する
- 監視システムを実装する
- トランザクション処理を適切に行う
- 脆弱性スキャンやペネトレーションテストを実施する
- セキュリティの専門家による監査を実施する
- セキュリティ情報を収集し、適宜更新する
【事例の詳細】
「サービスサイトへの集中的な不正なリクエストに対するDBデータを含めたレスポンス」と発表されています。これはホームページ内の検索ボックスなどを通じて、想定外のSQL文(検索プログラム)を実行することで不正にデータを入手する手法で「SQLインジェクション」と呼ばれ、システムのセキュリティホールを狙った手口に分類されます。
【漏洩した可能性があるもの】
サービス登録ユーザーの氏名、生年月日、メールアドレス、住所などの詳細な個人情報
【漏洩の規模】
2,753,400件
※引用:SNKRDUNK