search close

テーマ別対策
- 課題別
  - 課題別
    - 課題別
      詳しくはこちら
  - サイバーリスク管理
    - サイバーリスク管理
      
      継続的なアタックサーフェス（攻撃対象領域）の監視により、コンプライアンスに準拠します。
      詳しくはこちら
  - クラウドネイティブアプリケーションの保護
    - クラウドネイティブアプリケーションの保護
      
      クラウドネイティブなアプリケーションの開発スピードを阻害しないセキュリティを提供します。
      詳しくはこちら
  - ハイブリッドクラウド環境を保護
    - ハイブリッドクラウド環境を保護
      
      オンプレミスからクラウドへの移行をはじめ、ハイブリッドクラウド環境をシームレスに保護しながら、クラウドの利点を実現します。
      詳しくはこちら
  - ボーダーレス環境をセキュアに
    - ボーダーレス環境をセキュアに
      
      ID、エンドポイント、メール、モバイル、Webを保護し、ユーザが使用するツールから生じるリスクを軽減します。
      詳しくはこちら
  - ネットワークの死角をなくす
    - ネットワークの死角をなくす
      
      クラウドからデータセンタ、工場フロアまで、ネットワーク全体を保護します。
      詳しくはこちら
  - より迅速な対応を実現
    - より迅速な対応を実現
      
      脅威の把握と対処を加速し、SOCおよびITセキュリティチームの負担を軽減します。
      詳しくはこちら
  - リソースの最適化
    - リソースの最適化
      
      積極的なリスク軽減対策とマネージドセキュリティサービスで効果を最大化します。
      詳しくはこちら
  - ゼロトラストへの道
    - ゼロトラストへの道
      
      ゼロトラストでセキュリティを強化するために
      詳しくはこちら
- 役割別
  - 役割別
    - 役割別
      詳しくはこちら
  - CISO
    - CISO
      
      市場をリードするXDR、動的なアタックサーフェスリスクマネジメント、セキュリティソリューションにより、現在および未来のニーズを満たします。
      詳しくはこちら
  - SOC責任者
    - SOC責任者
      
      統合サイバーセキュリティプラットフォームにより、アタックサーフェス（攻撃対象領域）のサイロ化、複雑化、拡大化を防ぎ、サイバー攻撃を阻止します。
      詳しくはこちら
  - ITインフラ責任者
    - ITインフラ責任者
      
      セキュリティを進化することで、より少ないリソースでより多くの保護を実現し、脅威を迅速かつ効果的に軽減します。
      詳しくはこちら
  - クラウド構築者・開発者
    - クラウド構築者・開発者
      
      セキュリティを強化しながら、革新的なアプリケーションをオンタイムで提供できます。
      詳しくはこちら
  - クラウド運用者
    - クラウド運用者
      
      クラウドネイティブアプリケーション向けのセキュリティを提供することで、マルチクラウドの複雑さを解決し、コンプライアンス順守を支援します。
      詳しくはこちら
- 業種別
  - 業種別
    - 業種別
      詳しくはこちら
  - ヘルスケア
    - ヘルスケア
      
      ICT化や電子カルテの普及が進む中、閉じた環境での緩やかな境界防御ではなく、場面に応じたリスクマネジメントを実践していく必要があります。
      詳しくはこちら
  - 自治体
    - 自治体
      
      住民個人情報や企業経営情報などの保護に充分な対策がとられた行政業務と住民サービスが求められています。
      詳しくはこちら
  - 学校・教育委員会
    - 学校・教育委員会
      
      教育の現場におけるPCやインターネットの活用はさらなる普及が見込まれます。職員や生徒に安心安全な環境を提供しましょう。
      詳しくはこちら
  - 教育・大学
    - 教育・大学
      
      個人情報のみならず、先端技術情報など機微情報も保護する必要があります。ニューノーマル時代のICT環境セキュリティについてご紹介いたします。
      詳しくはこちら
  - 製造業
    - 製造業
      
      工場のIoT化が進むにつれてセキュリティリスクも高まっています。安全性や製品品質が重視される工場におけるセキュリティについてご紹介いたします。
      詳しくはこちら
  - 流通・小売り
    - 流通・小売り
      
      事業戦略にセキュリティ対策を組込むことが、消費者との信頼関係構築を行う上で重要です。
      詳しくはこちら
  - 金融
    - 金融
      
      Fintechをはじめとしたサービス領域の拡大とともに、適切な情報管理と安定したサービス提供がより重要性を増しています。
      詳しくはこちら
  - コネクテッドカー
    - コネクテッドカー
      
      自動車へのセキュリティ対策が求められています。車両からモバイルネットワーク、バックエンドに至る自動車のエコシステム全体を保護することが重要です。
      詳しくはこちら
  - 5G
    - 5G
      
      企業で5Gを活用した新たなネットワーク導入が進んでいます。5G/ローカル5Gシステムを保護するエンドツーエンドのサイバーセキュリティをご紹介します。
      詳しくはこちら
- 中小企業向けセキュリティ
  - 中小企業向けセキュリティ
    
    最新の技術と少ない人的リソースで、最新の脅威から防御
    詳しくはこちら
製品・ソリューション
- 統合サイバーセキュリティプラットフォーム
  - 統合サイバーセキュリティプラットフォーム
    - Trend Vision One
      
      統合サイバーセキュリティプラットフォーム
      
      EDRを進化させたXDRでIT環境、OT環境を保護
      詳しくはこちら
  - AI Companion
    - Trend Vision One Companion
      
      AIサイバーセキュリティアシスタント
      詳しくはこちら
- アタックサーフェスリスクマネジメント
  - アタックサーフェスリスクマネジメント
    
    潜在的なリスクの可視化によるインシデントの予防
    詳しくはこちら
- XDR：Extended Detection and Response
  - XDR：Extended Detection and Response
    
    脅威の全体像を可視化し、的確なインシデント対応を可能に
    詳しくはこちら
- クラウドセキュリティ
  - クラウドセキュリティ
    - クラウドセキュリティ
      
      オンプレミスからクラウドまでシームレスな保護を提供し、開発者・セキュリティチームをはじめ、企業にとって最も信頼できるクラウドセキュリティプラットフォーム
      詳しくはこちら
  - Workload Security:クラウドインスタンスを保護
    - Workload Security
      
      パフォーマンスを損なうことなく、データセンター、クラウド、コンテナを保護するクラウド型セキュリティ
      詳しくはこちら
  - Conformity:クラウドの設定状況を可視化
    - Conformity
      
      クラウドインフラの継続的なセキュリティ維持とコンプライアンス対応
      詳しくはこちら
  - Container Security:コンテナ環境を保護
    - Container Security
      
      コンテナイメージを自動的にスキャン、セキュアなCI/CDパイプラインを実現
      詳しくはこちら
  - File Storage Security:クラウドストレージのウイルス対策
    - File Storage Security
      
      クラウドファイル/オブジェクトストレージのためのセキュリティ
      詳しくはこちら
  - Network Security:クラウド環境を保護するネットワーク型IPS
    - Network Security
      
      マルチクラウド環境のための強力なネットワークレイヤのセキュリティ
      詳しくはこちら
  - Open Source Security:オープンソースの脆弱性を可視化
    - Open Source Security by Snyk
      
      オープンソースの脆弱性の可視化と監視
      詳しくはこちら
  - Deep Security:サーバを保護（オンプレミス型）
    - Trend Micro Deep Security™
      
      物理・仮想・クラウド環境のサーバ保護
      詳しくはこちら
- エンドポイントセキュリティ
  - エンドポイントセキュリティ
    - エンドポイントセキュリティ
      
      法人組織のエンドポイントを保護
      詳しくはこちら
  - Trend Vision One Endpoint Security（EPP+EDR）
    - Trend Vision One Endpoint Security（EPP+EDR）
      
      法人組織のエンドポイントを保護
      詳しくはこちら
  - Trend Micro Apex One（EPP）
    - Trend Micro Apex One（EPP）
      
      多層の機能によりエンドポイントを強固に保護
      詳しくはこちら
  - Worry-Free XDR（中小企業向けEPP+EDR）
    - Worry-Free XDR（中小企業向けEPP+EDR）
      
      最新の技術と少ない人的リソースで、最新の脅威から防御
      詳しくはこちら
  - モバイルセキュリティ
    - モバイルセキュリティ
      
      マルウェア、悪意のあるアプリケーションなどのモバイルへの脅威に対するオンプレミスおよびSaaSによる保護
      モバイルセキュリティ
  - エンドポイント製品一覧
    - エンドポイント製品一覧
      詳しくはこちら
- ネットワークセキュリティ
  - ネットワークセキュリティ
    - ネットワークセキュリティ
      
      ネットワークでの検出と対応によるXDRの実現
      詳しくはこちら
  - 侵入防御システム
    - 侵入防御システム
      
      ゼロデイ攻撃を始め、既知・未知の脆弱性からネットワークを守る
      詳しくはこちら
  - 標的型攻撃対策
    - 標的型攻撃対策
      
      ネットワークで不正に侵入、外部へ接続、横展開を試みる標的型攻撃の検知、インシデントレスポンスをサポート
      詳しくはこちら
  - ゼロトラスト/SWG/CASB
    - ゼロトラスト/SWG/CASB
      
      継続的なリスク評価で「信頼」を再定義し、デジタルトランスフォーメーションを保護
      詳しくはこちら
  - 産業向けネットワークセキュリティ
    - 産業向けネットワークセキュリティ
      
      ICS (産業制御システム) に最適化したセキュリティにより、稼働に対する影響を最小限に抑えながら、ネットワーク上でサイバー攻撃から保護
      産業向けネットワークセキュリティ
  - 5Gネットワークセキュリティ
    - 5Gネットワークセキュリティ
      
      エンタープライズ向けエンドツーエンドのセキュリティプラットフォーム
      5Gネットワークセキュリティ
- メールセキュリティ
  - メールセキュリティ
    - メールセキュリティ
      
      フィッシング、ランサムウェア、標的型攻撃を阻止
      詳しくはこちら
  - Trend Vision One Email and Collaboration Security
    - Trend Vision One™
      
      Trend Vision One Email and Collaboration Security
      
      Microsoft 365やGoogle Workspaceなどのメールサービスおよびコラボレーションアプリケーションに対するフィッシング攻撃、ランサムウェア攻撃、標的型攻撃を阻止
      詳しくはこちら
- OTセキュリティ
  - OTセキュリティ
    - OTセキュリティ
      
      サイバーセキュリティによりOT環境の整合性、安全性、稼働時間を維持
      OTセキュリティ
  - ICS/OTセキュリティ
    - ICS/OTセキュリティ
      
      工場などのOT環境の継続的な安定稼働を実現
      ICS/OTセキュリティ
  - 産業向けネットワークセキュリティ
    - 産業向けネットワークセキュリティ
      
      ICS (産業制御システム) に最適化したセキュリティにより、稼働に対する影響を最小限に抑えながら、ネットワーク上でサイバー攻撃から保護
      産業向けネットワークセキュリティ
- 製品一覧・体験版
  - 製品一覧・体験版
    詳しくはこちら
リサーチ
- リサーチ＆インサイト
  - リサーチ＆インサイト
    - リサーチ＆インサイト
      詳しくはこちら
  - セキュリティ情報サイト Security GO
    - セキュリティ情報サイト Security GO
      詳しくはこちら
  - セキュリティブログ
    - セキュリティブログ
      詳しくはこちら
  - Zero Day Initiatives (ZDI)
    - Zero Day Initiatives (ZDI)
      詳しくはこちら
  - リサーチペーパー
    - リサーチペーパー
      詳しくはこちら
  - Smart Protection Network
    - Smart Protection Network
      詳しくはこちら
  - サイバーリスクインデックス（CRI）
    - サイバーリスクインデックス（CRI）
      詳しくはこちら
サービス
- サービス
  - サービス
    - Trend Service One
      詳しくはこちら
  - Trend Service One
    - Trend Service One
      
      サイバー攻撃やインシデントの発生を24時間365日監視するMDRサービスや、インシデント発生時の対処など包括的なエキスパートサービスを提供
      詳しくはこちら
  - Trend Micro Managed XDR
    - Trend Micro Managed XDR
      
      トレンドマイクロのサイバーセキュリティ専門家がサイバー攻撃やインシデントの発生を24時間365日監視
      詳しくはこちら
  - インシデント対応サービス
    - インシデント対応サービス
      
      ランサムウェアや標的型攻撃等の被害に遭われた際、インシデント対応の専門家が一刻も早い業務復旧に向けた支援を実施
      詳しくはこちら
パートナー
- チャネルパートナー
  - チャネルパートナー
    - チャネルパートナー
      
      お客さまがお求めのトレンドマイクロ製品およびサービスを提供していただけるパートナーをお探しいただけます
      詳しくはこちら
  - リセラーパートナーを探す
    - リセラーパートナーを探す
      
      トレンドマイクロの製品・サービスを提供しているパートナーを掲載しています
      詳しくはこちら
  - MSPパートナー
    - MSPパートナー
      
      トレンドマイクロの製品に対応したマネージドセキュリティサービス展開を行うパートナーをご紹介します
      詳しくはこちら
  - CSPパートナー
    - CSPパートナー
      
      クラウド環境へトレンドマイクロ製品を使ったサービス展開を行うパートナーをご紹介します
      詳しくはこちら
  - Marketplace Partner
    - Marketplace Partner
      
      Marketplaceを活用したビジネス展開のためのパートナープログラムをご紹介します
      詳しくはこちら
- アライアンスパートナー
  - アライアンスパートナーの概要
    
    トレンドマイクロは各社とのアライアンスに基づき、お客さまがパフォーマンスと価値を最適化できるよう最善の支援を提供します。
    詳しくはこちら
- パートナーをお探しのお客さまへ
  - パートナーをお探しのお客さまへ
    - パートナーをお探しのお客さまへ
  - リセラーパートナーを探す
    - リセラーパートナーを探す
      
      トレンドマイクロの製品・サービスを提供しているパートナーを掲載しています
      詳しくはこちら
  - 特色からパートナーを探す
    - 特色からパートナーを探す
      
      お客さまの課題解決やパートナーエコシステムにおける強み・サービス・事例など、パートナー各社の特色をご紹介します
      詳しくはこちら
  - MSPパートナーを探す
    - MSPパートナーを探す
      
      トレンドマイクロの製品に対応したマネージドセキュリティサービス展開を行うパートナーを掲載しています
      詳しくはこちら
  - CSPパートナーを探す
    - CSPパートナーを探す
      
      クラウド環境へトレンドマイクロ製品を使ったサービス展開を行うパートナーを掲載しています
      詳しくはこちら
  - トレンドマイクロ SaaS 製品取扱パートナーを探す
    - トレンドマイクロ SaaS 製品取扱パートナーを探す
      
      「Trend Micro マネージドサービス事業者ライセンス」を通じて、トレンドマイクロのクラウド型製品をパートナーが自社サービスと組み合わせて提供しているパートナーを掲載しています
      詳しくはこちら
- パートナーの皆さまへ
  - パートナーの皆さまへ
    - パートナーの皆さまへ
      
      トレンドマイクロのパートナー、ツール＆リソースをご紹介します
      詳しくはこちら
  - パートナーさま向けお役立ち情報
    - パートナーさま向けお役立ち情報
      
      セキュリティに関する勉強コンテンツや、販売から導入に役立つパートナーさま向け情報をご紹介します
      詳しくはこちら
  - パートナープログラムのご紹介
    - パートナープログラムのご紹介
      
      パートナーさま向け各支援プログラムをご紹介します
      詳しくはこちら
  - パートナーポータルのご紹介
    - パートナーポータルのご紹介
      
      登録制のWebサイト「パートナーポータル」ではパートナーさまの販売活動にご活用いただけるコンテンツをご用意しております。
      詳しくはこちら
  - 流通パートナー
    - 流通パートナー
      詳しくはこちら
  - セキュリティトレーニング
    - セキュリティトレーニング
      
      セキュリティエキスパートによるトレーニングプログラムをご紹介します
      詳しくはこちら
会社概要
- Why Trend Micro
  - Why Trend Micro
    - Why Trend Micro
      詳しくはこちら
  - トレンドマイクロの特長
    - トレンドマイクロの特長
      詳しくはこちら
  - 導入事例
    - 導入事例
      詳しくはこちら
  - コアテクノロジー
    - コアテクノロジー
      詳しくはこちら
  - 業界における評価
    - 業界における評価
      詳しくはこちら
- 会社概要
  - 会社概要
    - 会社概要
      詳しくはこちら
  - セキュリティへの取り組み
    - セキュリティへの取り組み
      詳しくはこちら
  - 企業理念・沿革
    - 企業理念・沿革
      詳しくはこちら
  - サイバーセキュリティ・イノベーション研究所
    - サイバーセキュリティ・イノベーション研究所
      サイバーセキュリティ・イノベーション研究所
  - ダイバーシティ・エクイティ＆インクルージョン
    - ダイバーシティ・エクイティ＆インクルージョン
      詳しくはこちら
  - Sustainability & CSR
    - Sustainability & CSR
      詳しくはこちら
  - エグゼクティブ一覧
    - エグゼクティブ一覧
      詳しくはこちら
  - 子ども・保護者向けセキュリティ教育
    - 子ども・保護者向けセキュリティ教育
      詳しくはこちら
  - NEOMマクラーレンフォーミュラE
    - NEOMマクラーレンフォーミュラE
      詳しくはこちら
  - Privacy and Legal
    - Privacy and Legal
      詳しくはこちら
  - トランスペアレンシーセンター
    - トランスペアレンシーセンター
      詳しくはこちら
- ニュース、投資家向け情報、採用情報
  - ニュース、投資家向け情報、採用情報
    - ニュース、投資家向け情報、採用情報
      詳しくはこちら
  - プレスリリース
    - プレスリリース
      詳しくはこちら
  - ニュース＆トピックス
    - ニュース＆トピックス
      詳しくはこちら
  - 投資家向け情報
    - 投資家向け情報
      詳しくはこちら
  - 採用情報
    - 採用情報
      詳しくはこちら
  - イベント・セミナー
    - イベント・セミナー
      詳しくはこちら
  - ウェビナー
    - ウェビナー
      詳しくはこちら
  - お知らせ
    - お知らせ
      詳しくはこちら

個人のお客さまはこちら

お問い合わせ

サポート

リソース

ログイン

arrow_back

search close

SQLインジェクション(SQL Injection)

SQLインジェクション(SQL Injection)とは

SQLインジェクションは、リレーショナルデータベース(RDBMS)を持つアプリケーションに対し、意図しないSQL(Structured Query Language)文を注入することで、データベースを不正に操作する攻撃です。

SQLインジェクションの概要
リレーショナルデータベースとSQL
SQLインジェクションの仕組み
SQLインジェクションの種類
SQLインジェクションの対策
まとめ
SQLインジェクションについての関連情報

SQLインジェクションの概要

SQLインジェクションは、リレーショナルデータベース(RDBMS)を持つアプリケーションに対し、意図しないSQL(Structured Query Language)文を注入することで、データベースを不正に操作する攻撃です。SQLインジェクションは、その手法や目的によって複数の種類が存在し、サイバー攻撃者の視点で言うと、情報窃取、データ改ざん、脆弱性の調査など多岐にわたります。また、古くから存在する攻撃でありながら、現在もなお、多くの被害が発生していることから、法人組織が特に警戒すべき攻撃の１つと言えます。

リレーショナルデータベースとSQL

SQLインジェクションの解説に入る前に、まず、リレーショナルデータベースとSQLについて説明します。リレーショナルデータベースはアプリケーションのデータを管理するデータベースの一種で、データを表形式で管理します。トランザクション(1つひとつの処理)の信頼性の高さから、多くの業務用アプリケーションで使用されています。

SQLは前述のリレーショナルデータベースを操作するための言語(データベース言語)です。操作は主に３つに大別されており、データベースを構成するためのデータ定義言語(DDL)、データの読出しや更新などを担うデータ操作言語(DML)、権限など各種制御を担うデータ制御言語(DCL)で構成されます。なお、SQLの仕様はISOで規定されています。そのため、リレーショナルデータベースであれば、提供ベンダが異なっていても原則、同じように操作をすることが可能です。

ここで、SQLとリレーショナルデータベースを活用したWebアプリケーションの例を見ていきましょう。ユーザはWebアプリケーションのログイン画面で、ユーザ名とパスワードを入力し、「ログイン」を押下することで、システムにログインを試みます。これをアプリケーション目線で見た場合、下記の画像のような処理が行われます。図1の「SELECT・・・」がSQL文です。リレーショナルデータベースは、そのSQL文を受けて、自身の管理するデータベース上に該当ユーザが存在するか否かの確認を行います。そして、その結果についてSQL文を発行したアプリケーションに返します。アプリケーションはリレーショナルデータベースからの回答をもとに、ログインしようとしたユーザへ、適切なページを提供します。

図1：SQLとリレーショナルデータベースを活用したWebアプリケーションの例

SQLインジェクションの仕組み

さて、ここからは前述のアプリケーションをもとに、SQLインジェクションの基本的な仕組みを説明します。

ある日、サイバー攻撃者が本アプリケーションを発見し、攻撃の標的としました。サイバー攻撃者は、既に正規ユーザ「Ken Sato」が本Webアプリケーション上に存在していることを知っていることとします。サイバー攻撃者はユーザ「Ken Sato」を装って不正ログインを試みます。サイバー攻撃者はログインフォームにて、図2のように文字列を入力しました。これをアプリケーション目線で見た場合、図3のSQL文が生成されます。このSQL文はリレーショナルデータベースにおいて、どのように解釈されるのでしょうか。

図2：サイバー攻撃者による入力の例

図3：「図2」の入力から作成されたSQL文

本SQL文を受け取ったリレーショナルデータベースはまず、表USERSのUSER NAMEが「Ken Sato」の行を探します。ユーザ名「Ken Sato」は、既に存在しているため、リレーショナルデータベースは次の検索条件に移ります。ここからが問題になります。

検索条件に沿って、リレーショナルデータベースは、ユーザ名が「Ken Sato」かつ、パスワードが「空欄」もしくは、「'1' = '1'」のユーザを検索します。多くのアプリケーションにおいて、パスワードは必須であることから、今回、パスワードが「空欄」のユーザは見つからなかったとします。しかし、「'1' = '1'」はどうでしょうか。これは、「1」と「1」が、同一であるかを比較する数式となります。この結果は当然、常に成立します。そのため、リレーショナルデータベースは、USER NAMEが「Ken Sato」かつ、PASSWORDが「空欄」もしくは「’1’ = ‘1’」が成り立つユーザが存在すると認識します。結果、データベースサーバは、ユーザ名「Ken Sato」のパスワードを確認することなく、そのユーザ名に紐づく情報を、アプリケーションサーバに回答します。アプリケーションサーバは、その情報を元にログイン成功画面を作成し、サイバー攻撃者のブラウザにレスポンスとして送信します。

図4：SQLインジェクションの手口でデータベースに対し不正な処理を実行させる

これが、基本的なSQLインジェクションの仕組みです。今回、わかりやすい例としてWebアプリケーションのログインを挙げましたが、SQL文を使ったデータベースの操作はアプリケーションの多くの機能で使用されています。そのため、ログイン画面に限らず、アプリケーションの様々な場面において、本攻撃が成立する可能性があります。

SQLインジェクションの種類

SQLインジェクションは、その目的や手口によって複数の種類が存在します。ここではその一部を紹介します。

エラーベースSQLインジェクション

アプリケーションの構成や、脆弱性を探ることを目的に使用されるSQLインジェクションの手法です。アプリケーションに対し、意図的に不正な入力を行うことでエラーを発生させ、そのエラーメッセージを基に標的となるシステムの詳細を探ります。本手法自体による直接的なデータの改ざん、流出の可能性は低いですが、本手法で把握した情報を元に、サイバー攻撃者が、脆弱性を狙った攻撃や、後述の他のSQLインジェクション攻撃を仕掛ける可能性があります。

UNIONインジェクション

SQLの1つであるUNION演算子を使用し、任意のデータを参照することを目的としたSQLインジェクションの手法です。UNION演算子は、複数のSELECT文の結果を統合する演算子です。サイバー攻撃者が、アプリケーションの発行するSELECT文に対し、UNION演算子から始まる新たなSELECT文を追加することで、アプリケーションが意図しないデータを取得することが可能になります。本攻撃が成功した場合、サイバー攻撃者は、任意のデータをデータベースの表レベルで得ることが可能となります。そのため、SQLインジェクションの中でも特に大きな被害につながる手口と言えるでしょう。

ブラインドSQLインジェクション

アプリケーションにSQL文を送信し、その直接的な結果ではなく、挙動の違いを見ることでアプリケーションの構造を探る、SQLインジェクションの手口です。エラーベースSQLインジェクションと同様に、本手法自体による直接的なデータの改ざん、流出の可能性は低いですが、本手法で把握した情報を元に、サイバー攻撃者が脆弱性を狙った攻撃や、他のSQLインジェクション攻撃を仕掛ける可能性があります。

セカンドオーダーSQLインジェクション

サイバー攻撃者が、実行時点では効果のない細工が施されたSQL文をアプリケーションに送信し、タイミングを空けて後から実行をさせるSQLインジェクションの手法です。本手法は、直接的なユーザのアクセスが想定されない環境での実行となることから、最悪の場合、データベースの設定や権限の変更など、データベースレベルでの侵害につながる恐れがあります。

SQLインジェクションの対策

昨今のアプリケーションは様々な要素で構成されています。そのため、それらの要素ごとの適切な対策、つまり多層防御が必要となります。ここでは、SQLインジェクションによる被害を防ぐ代表的な対策を紹介します。

データベースレベルでの対策

データベースレベルでの対策としては、データベース上のユーザ権限の適正化が挙げられます。前述の通り、リレーショナルデータベースの操作は3つに大別されており、データベースの構成を担うデータ定義言語(DDL)、データの読出しや更新などを担うデータ操作言語(DML)、権限など各種制御を担うデータ制御言語(DCL)で構成されます。しかし、多くのアプリケーションが通常使うものは、多くの場合、SELECT句などのDMLです。それ以外の操作権限を制限することで、意図しないデータの削除や、設定の変更を防ぐことが可能です。

アプリケーションレベルでの対策

アプリケーションレベルでの対策は多岐にわたります。

●プレースホルダの利用

プレースホルダを使用してSQL文を作成することで、SQLインジェクションを防止することが可能です。プレースホルダは、アプリケーションであらかじめ用意したSQL文に、機械的に入力値を割り当てるものであり、不正な値がアプリケーションのインプットとして提供された場合でも、それらを不正な値とみなし、最終的なSQL文の作成を停止(エラーと判断)します。

●入力値の適切なエスケープ処理

SQL文の中で特殊な意味を持つ記号や文字列をエスケープ処理し、通常の文字列として扱うことで、意図しないリレーショナルデータベースの操作を防ぎます。エスケープの対象としては、「`(シングルクォート)」、「;(セミコロン/意味：当該記号をもってSQL文の最後とみなす)」、「--(2連続のハイフン/意味：当該記号以降をコメントとして扱う)」、「UNION(UNION句/意味：2つ以上のSELECT文の結果を統合する)」などが挙げられます。また、「1」などの数字の場合、それがデータベース上で、「数値」として扱われるのか、「文字」として扱われるか明示的に定義し、適切に変換することが必要です。

●エラーの非表示

アプリケーションが表示するエラーメッセージは、サイバー攻撃者に多くの情報を提供する恐れがあります。「エラーベースSQLインジェクション」にも記載の通り、攻撃者はこれらメッセージを基に、さらなる攻撃を仕掛ける恐れがあります。アプリケーション開発時は、データベースに限らず、システムの内部環境の把握につながるエラーメッセージを直接表示しないことが大切です。

●パッケージシステムへの修正プログラム適用

パッケージシステムをご利用の場合、ベンダから公式に提供される修正プログラムを可能な限り、早めに適用することを推奨します。SQLインジェクションを含む、各種脆弱性からシステムを保護することが可能になります。

ネットワークレベルでの対策

ネットワークレベルでの対策としては、IPS(Intrusion Prevention System)やWAF(Webアプリケーションファイアウォール)の活用が挙げられます。IPSはネットワークを監視し、悪意ある通信を検知/ブロックするソリューションです。WAFはWebアプリケーションの保護を担うソリューションであり、Web通信を検査することで、Webアプリケーションの脆弱性を狙った攻撃を検知/ブロックします。

稼働環境全体レベルでの対策

前述の対策後、外部からのペネトレーションテストや脆弱性診断を実施することで、対策の有効性、及び不備を客観的に評価することが可能になります。

まとめ

SQLインジェクションは古くから存在する攻撃でありながら、昨今でも大きな被害につながった事例が数多く確認されています。そのため、今現在も組織が警戒すべき攻撃と言えるでしょう。特に、UNIONインジェクションのような手法が用いられ、実行が成功してしまった場合は、大規模な情報漏洩につながる恐れもあります。しかし、適切な対策を講じることで、その被害を未然に防ぐことが可能です。法人組織のセキュリティ対策としては、前述の多層防御の観点での対策に加え、外部からのペネトレーションテストや脆弱性診断など、安全性の評価を定期的に実施されることを推奨します。