通常Webサイトなどは、そのバックグラウンドにデータベースを持っており、データベースに格納された情報を出し入れしながら機能を提供しています。例えば、ショッピングサイトであれば顧客情報や買い物の履歴情報、会計ソフトウェアであれば企業の財務情報や購買履歴などがデータベースに格納されています。

SQLとは、こうしたデータベースに対してデータの追加や更新、削除といった操作を行うための命令文を書いて、データベースを管理できる言語です。

SQLインジェクション攻撃とは、Webサイトなどに不正なSQL文を送り、データベースからの情報窃取や改ざん、削除といった悪意のある処理を実行する攻撃です。

SQLは、データベースにアクセスし情報の格納や処理を行う際に使用する言語です。インジェクション（ingection）は、「注入」や「挿入」の意味をもつ英単語です。「SQL」文を不正に「挿入」する攻撃手口であることから、SQLインジェクションと名づけられています。

SQLインジェクションは、前述のデータベースに保管された重要な情報を盗んだり、改ざんしたりすることを目的として実施されるため、攻撃にあった場合は情報漏洩やWebサイトの改ざんなど深刻な被害をもたらします。

SQLインジェクションはどのような流れで攻撃が実行されるのでしょうか。こちらでは、SQLインジェクションにおける攻撃フローを5ステップに分けて説明します。

以上の通りSQLインジェクション攻撃は、攻撃者がWebサイトやアプリケーションに存在する脆弱性をついて不正なSQL文を送信するという流れで実行されます。

SQLインジェクション攻撃は、古くから知られている攻撃手法であり、長年継続的にその被害事例が確認されています。さらに近年もSQLインジェクションの被害件数は増加していることがわかっています。

独立行政法人情報処理推進機構（IPA）の「ソフトウェア等の脆弱性関連情報に関する届出状況（2023年第4四半期）」によると、「ウェブサイトに関する脆弱性の種類別の届出状況（累計）」において、SQLインジェクションはクロスサイト・スクリプティング（58%）についで多く、11%を占めています。

以上のことより、SQLインジェクションは数あるWebサイトに対する攻撃の中でも特に利用されやすい手口であり、各企業や組織で十分に対策する必要があることがわかります。

ここからは、具体的にSQL文を用いながらSQLインジェクション攻撃が成立する仕組みをみていきましょう。SQLインジェクションを理解するためには、SQL自体の理解が必要です。そこで、まずはSQLについて簡単に説明します。

SQLは主に、データベースやテーブル自体の定義、データの操作、データの制御の用途で使用され、それぞれ文法が用意されています。中でもSQLインジェクションで悪用される「データの操作」のSQL文では、以下4種類の文法が使用され、操作対象のテーブルや条件などを指定する文法と組み合わせることで実行されます。

例えば、あるショッピングサイトのID入力フォームの裏で、以下のSQL文が構築されているケースを考えてみましょう。ユーザがID入力フォームに入力した値がidに代入されるとします。

SELECT * FROM users WHERE id = ‘ユーザが入力した値’;

idに「クオンツ花子」が入力された場合、以下のSQL文が作成されます。

SELECT * FROM users WHERE id = ‘クオンツ花子’;

usersというテーブルから、id=クオンツ花子であるレコードのデータをすべて取得するという命令文です。「FROM」でデータを取得するテーブルを指定し、「WHERE」でデータを取得する条件を指定しています。「SELECT  * 」はすべて取得するという意味です。

以上のSQLの仕組みを踏まえて、SQLインジェクション攻撃について考えてみましょう。

SQLインジェクションが実行される場合、攻撃者は悪意のあるSQL文を構築して送りつけます。例えば、攻撃者がID入力フォームに「QUANTS’ OR ‘QUANTS’ = ‘QUANTS」と入力することで以下のSQL文を作成して送ったら、どのような結果が返ってくるでしょうか。

 SELECT * FROM users WHERE id = ‘QUANTS’ OR ‘QUANTS’ = ‘QUANTS’;

このSQL文は、id=QUANTSの場合、あるいは「`QUANTS’ = ‘QUANTS`」が成り立つ場合、usersというテーブルからすべてのデータを取得するという意味です。条件式「’QUANTS’ = ‘QUANTS’」は常に真であるため、攻撃者はテーブル（users）に格納されたすべての情報を取得できます。

通常はこうした悪意のあるSQL文の実行を防ぐために、Webサイトやアプリケーション側で対策を行います。しかし、Webサイトやアプリケーション側に脆弱性があり対策が不十分な場合、入力フォームや検索フォームなどに対して不正なSQL文を送り、情報窃取や改ざんなどができるという仕組みです。

SQLインジェクション攻撃を受けた場合の被害について紹介します。 

 SQLインジェクションの事例でよく確認されている被害が、情報の漏洩です。

攻撃者によってデータを取得する命令文が実行されることで、データベースに格納された個人情報や、企業の機密情報などを窃取されることがあります。窃取された情報は外部に公開されたり、盗んだ情報の売買が行われるダークウェブにて取引されたりする可能性があります。 

SQL文では、データの更新や削除を行う命令文を作成できます。

SQLインジェクションの事例として、攻撃者がデータの改ざんや破壊を目的にこうした命令文をデータベースに送ることで、企業の重要情報が削除されたり顧客情報が改ざんされたりするケースが確認されています。 

近年SQLインジェクションの事例として、Webサイトの改ざんが多く報告されています。

攻撃者が不正なSQL文を送りWebサイトがもつデータベースを操作することで、Webサイト上に偽の情報を記載したり、一部の情報を勝手に削除したりする事例があります。

改ざんによってWebサイト上に正規のものに見せかけた入力フォームを用意し、ユーザが入力した個人情報などを窃取するといったSQLインジェクションの事例もあります。

特に、金融関連やショッピングサイトなど金銭の取引が発生するWebサイトを改ざんされた場合、不正な送金や商品購入に悪用されるリスクがあるため注意が必要です。

SQLインジェクションによる悪意をもった操作を踏み台として、さらなる二次被害をもたらすケースがあります。具体的には、攻撃者が企業のWebサイトを改ざんすることで、有害なWebサイトに誘導したり、ページを閲覧したユーザに対して攻撃をしかけるようなマルウェアを仕込んだりする可能性があります。

また、攻撃者が不正アクセスにより標的のサーバを乗っ取ってサーバの設定を書きかえることで、侵入の入り口となるバックドアを仕掛けてさらなる攻撃の踏み台として利用される可能性もあります。

SQLインジェクション攻撃では多くの場合、Webサイトやアプリケーションに存在する脆弱性を悪用するという攻撃手口が用いられます。

具体的には、HTTPリクエストラインやHTTPヘッダ、HTTPメッセージボディにおけるリスクエストメッセージの処理方法に関して脆弱性が存在する場合に、攻撃対象として狙われます。

Webサイトなどは、フレームワークや専用のソフトウェアなどを利用して構築されているケースが多いです。そのため、自社で利用しているフレームワークや専用のソフトウェアのアップデートを怠っており脆弱性が残っている場合に、その脆弱性をつかれてSQLインジェクションによる被害にあうリスクがあります。

近年は、修正用のセキュリティパッチが公開される前や世間に広く公表される前の脆弱性を狙うゼロデイ攻撃が増加しているため、自社で利用しているフレームワークやソフトウェアに関する脆弱性情報はいち早くキャッチできるように対策する必要があります。

続いて、SQLインジェクションの具体的な被害事例を紹介します。 

2022年6月、市場調査やマーケティング事業を行う矢野経済研究所は、同社サイトのサーバがSQLインジェクション攻撃による被害にあったことを公表しました。

被害状況として、同社が提供するサービスの会員のメールアドレスとパスワードが最大で101,988件流出した可能性があるとしています。

本件は取引先から個人情報が漏洩している可能性を指摘されたことをきっかけに発覚し、外部機関と協力して調査したことで被害状況が明らかになりました。

同社は攻撃された事実を確認した時点で、被害の拡大を防ぐために同サイトおよび関連サイトを閉鎖し、外部のネットワークから切断するという対応をとりました。また、漏洩した情報を悪用した不正ログインを防ぐために、対象ユーザのログインパスワードを初期化しました。

さらに再発防止策として、脆弱性防御ツールおよび脆弱性管理ツールの導入を検討すると発表しています。

クレジットカード情報は同社が保有していないため流出していないとのことですが、被害件数を踏まえるとSQLインジェクションにて大規模な被害が発生することがわかります。

2023年4月、国内研究機関である統計数理研究所は、同機関の共同研究データベースを管理しているサーバがSQLインジェクション攻撃による被害にあったことを公表しました。

被害状況として、過去に同社の研究に参加した人のメールアドレス情報が5,527件流出した可能性があるとしています。なお、対象者の氏名やパスワードといったメールアドレス以外の情報が流出した形跡はないと発表しています。

攻撃が発覚したあと、同機関はサーバをネットワークから切断し、運用停止の対応をとりました。また、対象者に対してメールアドレスが不審なメールの送信先などに悪用される可能性がある旨の注意喚起を行いました。

SQLインジェクションの攻撃手口として、サーバの設定不備が悪用された可能性がある旨を公表しています。

2023年8月、バッグなどの小物を販売する倉敷帆布は、同社のECサイトを運用するサーバがSQLインジェクション攻撃による被害にあい不正アクセスされたことを公表しました。

被害状況として、同社のECサイトで決済を行ったユーザ8,655名のクレジットカード情報（名義人名、クレジットカード番号、有効期限、セキュリティコード）が流出した可能性があるとしています。

さらに、同社ECサイトを利用したユーザ40,869名の個人情報（氏名、住所、電話番号など）も流出した可能性があると公表しています。

本事例は、クレジット会社より同社ECサイト経由でクレジットカード情報が流出している可能性を指摘されたことを受け、調査を開始し発覚しました。

攻撃の手口としてECサイトの脆弱性が悪用され、SQLインジェクションにて決済のWebアプリケーションが改ざんされたと発表されています。

被害者に向けて利用明細に不審な履歴がないか確認するように周知しており、クレジットカードの再発行を希望する場合には再発行の手数料を負担する旨を明らかにしています。

クレジットカード情報と個人情報が流出していることから、SQLインジェクションにて深刻な被害がもたらされることがわかります。

また本事例は、 ECサイトのオープン当初から2023年4月までの約2年間、攻撃者がWebサイトの脆弱性を利用して不正アクセスを続けていたという特徴があります。本事例を踏まえると、定期的にWebサイトのセキュリティチェックを行い、脆弱性が潜んでいないか確認することが重要だといえます。

SQLインジェクション攻撃のリスクを低減するために、どのような対策をとったらよいでしょうか。こちらでは、代表的なSQLインジェクション攻撃に対する対策方法を紹介します。 

プレースホルダ―とは、変数となる部分を示すための記号であり、SQL文において後から値を挿入する部分に値を仮置きする仕組みです。

WebサイトやWebアプリでユーザが入力した値をそのまま用いてSQL文を作成すると、攻撃者によって悪意のある値が入力されて不正なSQL文が構築される可能性があります。

そこでプレースホルダ―を利用し、後述のエスケープ処理と組み合わせることで、ユーザが入力した内容はあくまで値として安全な形で処理したうえで、SQL文を組み立てることができます。

SQLインジェクションの対策としては、SQL文の組み立てをアプリケーション側ではなくデータベース側で行う「静的プレースホルダ―」と呼ばれる方法で実装することが望ましいです。

エスケープ処理は、「’（シングルクォーテーション）」や「;（セミコロン）」などプログラミング言語やデータベース言語として使用すると意味をもつ特殊記号が入力された場合に、その意味を無効化し、単なる文字列として扱う処理のことです。

例えば、SQL文において意味をもつ「’」を入力値として受け取った場合は「’」の前に「\（バックスラッシュ）」を追加し、「’」を単なる文字列として扱うというエスケープ処理を施すことで、SQLインジェクションの対策ができます。

具体的にSQL文を用いて解説します。あるショッピングサイトのID入力フォームの裏で、以下のSQL文が構築されているケースを考えてみましょう。ユーザがID入力フォームに入力した値がidに代入されるとします。

SELECT * FROM users WHERE id = ‘ユーザが入力した値’;

攻撃者がID入力フォームに「QUANTS’ OR ‘QUANTS’ = ‘QUANTS」と入力した場合、以下のSQL文が作成されます。
SELECT * FROM users WHERE id = ‘QUANTS’ OR ‘QUANTS’ = ‘QUANTS’;

エスケープ処理を行わないと、「‘QUANTS’ = ‘QUANTS’」という条件式が常に真のため、攻撃者によってusersというテーブルのすべてのデータが取得され、SQLインジェクションが成功します。

そこで「’」の前に「\」を付け加え、「’」を文字列として扱うエスケープ処理を行うとどうなるでしょうか。

SELECT * FROM users WHERE id = ‘QUANTS\’ OR \’QUANTS\’ = \’QUANTS’;

上記のSQL文では、「\」直後の「’」が文字列として処理されます。その結果、usersというテーブルから、idという列の値が「QUANTS’ OR ’QUANTS’ = ’QUANTS」であるレコードのすべてのデータを取得するという命令文になり、不正なSQL文の実行を無効化できます。 

Webサイトやアプリケーションに渡すパラメータに、SQL文を直接指定することは論外の実装です。直接SQL文を渡す設計の場合、攻撃者はSQL文を改変し有害なSQL文をデータベースに送ることで、簡単にSQLインジェクションを実行できます。 

SQLインジェクションは、ターゲットのWebサイトやアプリケーション内にある入力フォームや検索フォームなどの脆弱性を狙って実行されます。

攻撃者は、入力フォームや検索フォームなどに様々な値を入力し、返ってくるエラー文をもとにターゲットとなるWebサイトやアプリケーションにおける脆弱性の有無を探ることがあります。

例えばエラー文の中に、データベースの名称や列の名称などが含まれている場合、攻撃者がそれをヒントに不正なSQL文を構築し、SQLインジェクションを試みる可能性があります。

攻撃者に不要な情報を与えてしまわないように、SQLインジェクション攻撃の手がかりとなり得る詳細なエラー文はユーザ側に表示させないように設計しましょう。

SQLインジェクションの対策として、ユーザからの入力を受けるWebアプリケーションについては、データベースに対する権限は必要最低限となるように設定しましょう。

Webアプリケーション側に付与する権限を必要最低限に絞ることで、万が一攻撃者が悪意のあるSQL文を入力したとしても、権限不足によりデータベース側で処理が実行されずにSQLインジェクションの成功を防ぐことができます。 

SQLインジェクションの対策として、Webサイトの構築に利用しているフレームワークや専用のソフトウェア、Webアプリケーションはセキュリティパッチが公開されたら速やかに適用し、常に最新状態に保つようにしましょう。

特に、顧客の個人情報や企業の機密情報をデータベースに保管しているWebアプリケーションは、SQLインジェクションの標的となりやすいため注意が必要です。

近年は、脆弱性を修正するパッチの公開前や脆弱性が世間に広く公表される前のタイミングを狙って脆弱性の悪用を試みるゼロデイ攻撃が流行しています。

脆弱性が発見されてから攻撃されるまでの時間が早まっている傾向にあるため、自社が利用しているWebアプリケーションに関する脆弱性情報はいち早くキャッチし対応できるように、脆弱性管理の体制を整えておくことが望ましいです。

また、企業内に脆弱性のあるアプリケーションが導入されることを防ぐための対策も必要です。利用を許可するアプリケーションやツールの制限や、Webアプリケーション開発時の脆弱性チェックといった運用も検討するとよいでしょう。

SQLインジェクションの対策として、Web Application Firewall（WAF）の導入が有効とされています。WAFはアプリケーションがもつ脆弱性を悪用した攻撃から守るセキュリティ対策ツールです。

従来のFirewallはネットワークレベルで不審な通信を検知・ブロックしますが、WAFはアプリケーションレベルで通信を検知・ブロック可能です。Webアプリケーションを保護することに特化したFirewallといえます。

WAFを導入することで、外部からWebアプリケーションへの通信の内容をチェックできます。

SQLインジェクションで用いられるような悪意のあるSQL文が通信内容に含まれていないか監視し、検知した場合はブロックするといった対策を行うことが可能なため、WAFはSQLインジェクション対策として有用なセキュリティツールです。

SQLインジェクションの対策として、定期的にWebサイトの脆弱性診断を実施するとよいでしょう。特に大企業は、多数のWebサイトやアプリケーションを管理しており、すべてについてIT担当者のみで脆弱性情報を確認し、タイムリーに脆弱性対応を行っていくことは難しいものです。

IT担当者が気づいていないところで、開発者が古いバージョンのフレームワークやWebアプリケーションを使用していたといったケースもあり得ます。

そこで、セキュリティベンダが実施している脆弱性診断サービスや脆弱性チェックのセキュリティツールを利用し、SQLインジェクションのリスクがないか網羅的にWebサイトの脆弱性をチェックするとよいでしょう。

SQLインジェクション攻撃は、Webサイトなどに不正なSQL文を送り、データベースからの情報窃取や改ざん、削除といった悪意のある操作を実行する攻撃です。

SQLインジェクション攻撃は古くからある攻撃手口ですが、近年も増加傾向にあり、被害にあった場合は一度に膨大なデータの漏洩、改ざんにつながる非常に危険な攻撃といえます。特に、個人情報や企業の機密情報を扱うデータベースをもつWebアプリケーションにおいて注意が必要です。

SQLインジェクションの対策として、設計レベルではプレースホルダ―とエスケープ処理を実装し、Webアプリケーション側にはデータベースに対する必要最低限の権限を与えるように設定しましょう。

また、運用面では適切なWebアプリケーションのパッチ管理を行い、WAFなどのセキュリティ対策ツールやWebサイトの脆弱性診断サービスの利用を検討し、SQLインジェクション攻撃の兆候を検知・ブロックできるように対策を行いましょう。

コンサルティングに関しては、専門性を持ったコンサルタントが、徹底して伴走支援するクオンツ・コンサルティングにご相談ください。

①大手コンサルティングファーム出身のトップコンサルタントが多数在籍
②独立系ファームならではのリーズナブルなサービス提供
③『事業会社』発だからできる当事者意識を土台にした、実益主義のコンサルティングサービス

クオンツ・コンサルティングは『設立から3年9ヶ月で上場を成し遂げた事業会社』発の総合コンサルティングファームです。
無料で相談可能ですので、まずはお気軽にご相談ください。