SQLインジェクションとは、Webアプリケーションのセキュリティ脆弱性の1種です。

データベースに不正アクセスされたり、不正操作されたりする恐れがあります。

本記事では、SQLインジェクションで起こるリスクや被害事例をご紹介します。

そのほか、SQLインジェクションの対策方法をお伝えするので、Webサイトやアプリを攻撃から守りたい場合はぜひ参考にしてください。

SQLインジェクションとは？

SQLインジェクションは、Webアプリケーションのセキュリティ脆弱性の1種です。

攻撃者が悪意のあるSQLコードを入力して、データベースに不正アクセスしたり、データを不正に操作したりする攻撃手法です。

通常、Webアプリケーションはユーザーの入力をデータベースに対するクエリとして利用しますが、入力内容を適切に検証・無害化せずにSQLクエリに組み込むと、攻撃者がその入力フィールドを利用してSQL文を改ざんし、データベースの操作も可能にしてしまいます。

SQLインジェクションで起こる被害やリスク

SQLインジェクションが何かを知る上で、どのような被害やリスクがあるか知るのも大切です。

ここでは、SQLインジェクションで起こる主なリスクを2つご紹介します。

情報漏えい

SQLインジェクションによる情報漏えいは、攻撃者がデータベースに不正にアクセスし、機密情報を取得することです。

攻撃者がフォームやURLなどに悪意のあるSQLコードを入力し、Webアプリケーションがその入力を適切に検証せずにデータベースクエリに組み込むことによって、攻撃者はSQLインジェクションを実行します。

攻撃者は、SQLインジェクションを利用してデータベースから不正にデータの抽出が可能です。

抽出されたデータには、ユーザー名、パスワード、クレジットカード情報、住所、電話番号、メールアドレス、その他の個人情報が含まれる場合があります。

Webサイトの改ざん

SQLインジェクションによるWebサイトの改ざんは、攻撃者がデータベースを不正に操作することで、Webサイト上のコンテンツや情報を変更、削除、または追加するのを指します。

例えば、製品ページの価格や詳細情報、ニュース記事などを改ざんし、虚偽の情報をユーザーへの提供が可能です。

また、ページに悪質なリンクを挿入して、訪問者をフィッシングサイトやマルウェア配布サイトへ誘導するケースもあります。

攻撃者がSQLインジェクションを利用してデータベースにアクセスすると、管理者権限を持つユーザーアカウントを乗っ取られる場合があります。

攻撃者はサイトのバックエンドにアクセスし、Webサイトの管理機能を悪用して追加的な改ざんが可能です。

実際に起こったSQLインジェクションの被害事例

SQLインジェクションに備える上で、実際にどのような被害事例があるか把握しておきましょう。

ここでは、SQLインジェクションの被害を実際に被った事例を4つご紹介します。

事例1. Webサイトで情報漏えい

2019年1月、あるWebサイトがSQLインジェクション攻撃を受けた事例があります。

データベースに保存されていた63,656件の個人情報が流出した可能性があると公表しました。

事例2. ECサイトで情報漏えい

2020年4月、ECサイトに不正アクセスがあり94件のクレジットカード情報を含む顧客情報と、最大12万件の他の顧客情報が流出した可能性があると確認されています。

この不正アクセスはSQLインジェクション攻撃によるものであり、サイトは一時的に閉鎖されました。

事例3. リサーチ・調査会社で情報漏えい

2022年6月、リサーチ・調査会社がSQLインジェクション攻撃を受け、合計101,988件の情報が流出する可能性があると報告しています。

再発を防止するため、同社は企業ホームページを5日間一時的に閉鎖し、提供していた一部のWebサービスも一時停止しました。

事例4. メルマガ会員の情報が流出

2018年6月、あるアウトレット運営会社がメールマガジン会員の約27万件の情報が流出したサイバー攻撃に関する調査結果を発表しています。

報告によると、2017年5月から2018年1月にかけて、国内外の第三者による複数回のSQLインジェクション攻撃がホームページ用サーバーに対して行われ、Webアプリケーションに脆弱性が存在していたと確認されました。

脆弱性を悪用した攻撃により、情報流出が発生したと考えられています。

SQLインジェクションの対策方法

SQLインジェクションからシステムを守るために、対策を徹底するのが大切です。

ここでは、SQLインジェクションの対策方法を6つご紹介します。

1. プレースホルダを利用する

プレースホルダを使うと、ユーザーからの入力がSQLクエリとして処理される前に、エスケープされて自動的に安全な形式に変換されます。

その結果、ユーザーが入力したSQLコードが実行されるリスクを防げるでしょう。

また、SQLクエリがより簡潔で理解しやすくなり可読性が向上し、保守性や管理が楽になります。

プレースホルダは、SQLインジェクション攻撃を根本的に防ぐため、動的にSQL文を生成する際に引数を適切にバインドし、悪意のある入力がSQL文として実行されるのを防止できます。

2. エスケープ処理を行う

エスケープ処理とは、ユーザーからの入力がSQLクエリとして解釈されないように、特殊な文字を適切に処理する方法です。

悪意のある入力がSQLクエリ内で実行されるのを防ぎます。

SQLクエリ内で特殊な意味を持つ文字を正しく処理し、ユーザー入力がSQLコードとして誤って解釈されるのを防止できます。

エスケープ処理により、SQLインジェクション攻撃を未然に防ぐことにつながるでしょう。

3. Webアプリケーションを常に最新の状態に維持する

Webアプリケーションを最新の状態に保つと、既知のセキュリティホールや脆弱性が修正され、SQLインジェクションをはじめとするさまざまなサイバー攻撃から守られます。

Webアプリケーションやその関連するライブラリ、フレームワークなどは、セキュリティパッチが定期的に提供されています。

パッチや更新を適用しないと、攻撃者は既知の脆弱性を悪用できてしまうでしょう。

SQLインジェクションの脆弱性もその一例で、開発者が不適切なコードを書いてアプリケーションが攻撃者に悪用されるケースがあります。

しかし、これらの脆弱性は、多くの場合アプリケーションの更新によって修正されます。

4. データベースサーバーのログを監視して解析する

データベースサーバーのログは、すべてのデータベースアクセスやクエリの履歴を記録するため、適切に収集し保存しておくのが大切です。

ログには、SQL文、実行されたクエリの内容、実行時間、発生したエラーなどが含まれます。

ログ監視のポイントは、不正アクセスや攻撃的な挙動を検出することです。

SQLインジェクション攻撃を行う際、攻撃者は特殊な文字を使って不正なクエリを実行しようとします。

不正なクエリパターンを特定するために、ログを解析して異常なパターンを探すことが大切です。

5. 想定している文字以外は使用しない

SQLインジェクション攻撃は、主にSQLクエリに不正な文字列の挿入によって実行されます。

攻撃者は、データベースの構造を変更するために、通常、SQL文を変更できるような特殊な文字を利用します。

例えば、次のような文字や構文がSQLインジェクションに悪用されることがあります。

• シングルクォート
• ダブルハイフン
• セミコロン
• 二重ダブルクォート
• 括弧
• スペース

これらの文字は、SQL文内で特別な意味を持ち、クエリを不正に変更したり、条件を無効にしたりするために悪用されるケースがあるでしょう。

この対策は、ユーザーからの入力を制限することで、不正な文字がSQLクエリに挿入されるのを防ぐのを目指します。

6. WAFを導入する

WAFは、Webアプリケーションに対する不正なリクエストを検知し、攻撃をブロックするセキュリティ対策の1つです。

従来のファイアウォールやIPS/IDSがネットワークレベルの脅威を防ぐのに対し、WAFはアプリケーションレイヤーで動作し、WebサイトやAPIへの攻撃を防ぎます。

WAFは、SQLインジェクションだけでなく、クロスサイトスクリプティングやDDoS攻撃など、さまざまなWeb攻撃にも対応できるため、Webアプリケーションの総合的なセキュリティ向上に役立ちます。

アプリケーション側でSQLインジェクション対策をしていなくても、WAFが外部からの攻撃をブロックするため、迅速な防御が可能になる点がメリットです。

また、アプリケーションコードを変更しなくても、WAFを導入するとSQLインジェクション攻撃を防止できます。

特に、レガシーシステムなど、すぐにセキュリティ対策を施せない環境では有効です。

ただし、WAFは攻撃の可能性があるリクエストをブロックしますが、正規のユーザーのリクエストを誤ってブロックしてしまうケースがあります。

そのため、適切なルール設定が必要です。

まとめ

SQLインジェクションは、悪意のあるSQL文をアプリケーションに挿入し、データベースに不正アクセスする攻撃手法です。

これにより、機密情報の漏えいやWebサイトの改ざんが発生し、企業の信頼が損なわれる可能性があります。

実際に、多くの企業やサービスで情報流出の事例が報告されています。  

対策としては、プレースホルダの利用やエスケープ処理によるSQL文の適切な処理、Webアプリケーションの定期的な更新、データベースログの監視などが有効です。

また、想定外の入力を排除することで攻撃のリスクを低減できます。

さらに、WAFを導入すると、不正なアクセスをリアルタイムで検知・防御が可能です。

適切なセキュリティ対策を施し、SQLインジェクションのリスクを最小限に抑えることが重要です。