SQLインジェクションで被害に遭わない防衛策

SQLインジェクションの怖さは、個人情報の漏えいだけではありません。データにアクセスしたサイバー犯罪者は、データベースの内容を改ざんしたり、データベースそのものを破壊することも可能なのです。SQLインジェクションの犯罪の手口と、その防衛策を見ていきましょう。

SQLインジェクションの攻撃手法

SQLインジェクションはデーターベースから個人情報を奪取するだけでなく、本来ユーザーが求めたWebサイトではない、犯罪者側が用意したWebサイトにユーザーを誘導するも可能。ユーザーが気付かない状態でマルウェアをダウンロードさせることなどもできるのです。

例えば、ユーザーにダウンロードさせたトロイの木馬などのマルウェアを使用するケース。クレジットカードの認証情報やインターネットゲームのアカウント情報、その他の個人情報を盗むケースも考えられます。

ネットゲームのアカウント情報には、所有しているアイテムの情報などがあるため、それを入手し、既にできているRMT（Real MoneyTrade）市場で販売することも可能。サイバー犯罪者にとってSQLインジェクションは、様々なサイバー犯罪を行うベースとなる、極めて有効な攻撃手法なのです。

SQLインジェクションという手口はいまや自動化されており、ロシアや中国のWebサイトではそのための不正プログラムが有料で配布されているほど。サイバー犯罪者にとっては、さほど高度な技術がなくとも手を染められる環境になっている分、ユーザーにとっての脅威も増しているといってよいでしょう。

SQLインジェクションそのものに対する防衛策に関しては現状、Webサーバやデータベースサーバの運営者側で対策するしかありません。しかし、SQLインジェクションを起点とするマルウェアによる攻撃などについてはユーザー側でも対応できます。

まずは強力なセキュリティソフトを使用すること。そして、WindowsなどのパソコンのOSを最新状態に更新しておくことでSQLインジェクションの脅威を抑えられるでしょう。

■「SQLインジェクション」おすすめ記事
SQLインジェクションは個人情報を根こそぎ奪取

ラジオライフ編集部：三才ブックス

モノ・コトのカラクリを解明する月刊誌『ラジオライフ』は、ディープな情報を追求するアキバ系電脳マガジンです。 ■編集部ブログはこちら→https://www.sansaibooks.co.jp/category/rl

2021年10月、ついに「モザイク破壊」に関する事件で逮捕者が出ました。京都府警サイバー犯罪対策課と右京署は、人工知能（AI）技術を悪用してアダルト動画（AV）のモザイクを除去したように改変し［…続きを読む］

モザイク処理は、特定部分の色の平均情報を元に解像度を下げるという非可逆変換なので「モザイク除去」は理論上は不可能です。しかし、これまで数々の「モザイク除去機」が登場してきました。モザイク除去は［…続きを読む］

圧倒的ユーザー数を誇るLINEは当然、秘密の連絡にも使われます。LINEの会話は探偵が重点調査対象とするものの1つです。そこで、探偵がLINEの会話を盗み見する盗聴＆盗撮テクニックを見ていくと［…続きを読む］

盗聴器といえば、自宅や会社など目的の場所に直接仕掛ける電波式盗聴器が主流でした。しかし、スマホ、タブレットPCなどのモバイル機器が普及した現在、それらの端末を利用した「盗聴器アプリ」が急増して［…続きを読む］

おもちゃの缶詰は、森永製菓「チョコボール」の当たりである“銀のエンゼル”を5枚集めるともらえる景品。このおもちゃの缶詰をもらうために、チョコボール銀のエンゼルの当たり確率と見分け方を紹介しまし［…続きを読む］