SQLインジェクションで被害に遭わない防衛策

SQLインジェクションの怖さは、個人情報の漏えいだけではありません。データにアクセスしたサイバー犯罪者は、データベースの内容を改ざんしたり、データベースそのものを破壊することも可能なのです。SQLインジェクションの犯罪の手口と、その防衛策を見ていきましょう。

SQLインジェクションの攻撃手法

SQLインジェクションはデーターベースから個人情報を奪取するだけでなく、本来ユーザーが求めたWebサイトではない、犯罪者側が用意したWebサイトにユーザーを誘導するも可能。ユーザーが気付かない状態でマルウェアをダウンロードさせることなどもできるのです。

例えば、ユーザーにダウンロードさせたトロイの木馬などのマルウェアを使用するケース。クレジットカードの認証情報やインターネットゲームのアカウント情報、その他の個人情報を盗むケースも考えられます。

ネットゲームのアカウント情報には、所有しているアイテムの情報などがあるため、それを入手し、既にできているRMT（Real MoneyTrade）市場で販売することも可能。サイバー犯罪者にとってSQLインジェクションは、様々なサイバー犯罪を行うベースとなる、極めて有効な攻撃手法なのです。

SQLインジェクションという手口はいまや自動化されており、ロシアや中国のWebサイトではそのための不正プログラムが有料で配布されているほど。サイバー犯罪者にとっては、さほど高度な技術がなくとも手を染められる環境になっている分、ユーザーにとっての脅威も増しているといってよいでしょう。

SQLインジェクションそのものに対する防衛策に関しては現状、Webサーバやデータベースサーバの運営者側で対策するしかありません。しかし、SQLインジェクションを起点とするマルウェアによる攻撃などについてはユーザー側でも対応できます。

まずは強力なセキュリティソフトを使用すること。そして、WindowsなどのパソコンのOSを最新状態に更新しておくことでSQLインジェクションの脅威を抑えられるでしょう。

■「SQLインジェクション」おすすめ記事
SQLインジェクションは個人情報を根こそぎ奪取