SQLインジェクション攻撃の手口と事件の事例、簡易な対策を整理しました。

【事例】

株式会社SODAが運営するスニーカーマーケットプレイス「SNKRDUNK」においてSQLインジェクション攻撃で約275万件の個人情報が漏えい

【不正の手口】

検索ボックスなどを介してデータベースに対して、想定しないSQL文を連続投入。

【対策】

• パラメータ化されたクエリを使用する
• 入力データのエスケープ処理を行う
• 入力値の検証を実施する
• データベースのアクセス権を最小限に制限する
• セキュリティ設定を強化する
• 監視システムを実装する
• トランザクション処理を適切に行う
• 脆弱性スキャンやペネトレーションテストを実施する
• セキュリティの専門家による監査を実施する
• セキュリティ情報を収集し、適宜更新する

【事例の詳細】
「サービスサイトへの集中的な不正なリクエストに対するDBデータを含めたレスポンス」と発表されています。これはホームページ内の検索ボックスなどを通じて、想定外のSQL文（検索プログラム）を実行することで不正にデータを入手する手法で「SQLインジェクション」と呼ばれ、システムのセキュリティホールを狙った手口に分類されます。

【漏洩した可能性があるもの】

サービス登録ユーザーの氏名、生年月日、メールアドレス、住所などの詳細な個人情報

【漏洩の規模】

2,753,400件

※引用：SNKRDUNK