SQL インジェクション攻撃について説明する

  • 5 分

SQL インジェクションは、最も危険で一般的な Web アプリケーションのセキュリティ脆弱性の 1 つです。 この攻撃手法により、Web アプリケーションの背後にあるデータベース サーバーを制御する悪意のある SQL ステートメントを実行できます。 セキュリティで保護されたアプリケーションを構築するには、SQL インジェクションのしくみを理解することが不可欠です。

SQL インジェクションとは

定義: SQL インジェクションは、攻撃者がアプリケーション クエリに悪意のある SQL コードを挿入したときに発生します。 ユーザー入力をデータとして扱う代わりに、アプリケーションが誤ってそれをコードとして実行し、攻撃者がデータベース操作を操作できるようにします。

しくみ: Web アプリケーションは、多くの場合、静的 SQL とユーザー指定の入力を組み合わせて SQL クエリを構築します。 アプリケーションがこの入力を適切に検証またはサニタイズしない場合、攻撃者は、データベースが目的のクエリと共に実行する追加の SQL コマンドを挿入できます。

簡単な例: 次のクエリで資格情報をチェックするログイン フォームを考えてみましょう。

SELECT * FROM users WHERE username = 'inputUsername' AND password = 'inputPassword'

攻撃者がユーザー名として admin' -- を入力する可能性があります。 これにより、クエリが次の内容に変換されます。

SELECT * FROM users WHERE username = 'admin' --' AND password = 'inputPassword'

--文字は SQL コメントを開始し、パスワード チェックを効果的に削除します。 攻撃者はパスワードを知らなくてもアクセス権を取得します。

攻撃者が達成できること

SQL インジェクションの脆弱性により、攻撃者はアプリケーションのセキュリティ対策をバイパスし、承認されていないアクションを実行できます。

認証と承認をバイパスする: 攻撃者は、有効な資格情報なしでアカウントにアクセスするためのログイン メカニズムを回避できます。 特権を昇格して、低い特権アカウントでも管理アクセスを取得できます。

データベースの内容全体を取得します。 悪意のある SQL を挿入すると、攻撃者は、顧客情報、個人データ、企業秘密、知的財産、機密情報など、データベースからすべてのデータを抽出できます。 アプリケーションが通常表示するデータに限定されるわけではありません。

データベース レコードを変更または削除します。 攻撃者は SQL インジェクションを使用して、レコードの挿入、更新、または削除を行うことができます。 新しい管理アカウントを追加したり、eコマースシステムで価格を変更したり、監査ログを削除して足跡を隠したりする可能性があります。

オペレーティング システム コマンドを実行します。 一部の構成では、攻撃者はデータベース機能を使用して、基になるオペレーティング システムでコマンドを実行できます。 これにより、サーバーが完全に侵害される可能性があります。

サービス拒否を実行します。 攻撃者は、過剰なリソースを消費するクエリを作成し、正当なユーザーがアプリケーションを効果的に使用できないようにすることができます。

広範囲にわたる影響

SQL ベースのアプリケーションに影響します。 SQL インジェクションの脆弱性は、次のような SQL データベースを使用する Web サイトまたは Web アプリケーションに影響を与える可能性があります。

  • MySQL アプリケーション。
  • Oracle データベース システム。
  • Microsoft SQL Server アプリケーション。
  • PostgreSQL データベース。
  • SQLite の実装。
  • その他の SQL ベースのデータベース システム。

この脆弱性は、データベース ソフトウェア自体ではなく、アプリケーション コードに存在します。 セキュリティで保護された up-to-date データベース システムを使用している場合でも、アプリケーション コードが不適切な場合は脆弱性が発生します。

リスクのある機密データ: 犯罪者は、SQL インジェクションを悪用して機密情報への不正アクセスを取得します。

  • 顧客情報: 名前、住所、支払いの詳細、購入履歴。
  • 個人データ: 社会保障番号、生年月日、医療記録、財務情報。
  • ビジネス データ: 営業秘密、独自のアルゴリズム、戦略的計画、パートナー契約。
  • 知的財産: 調査データ、未発行のコンテンツ、ソース コード。
  • 認証資格情報: パスワード、API キー、トークン、証明書。

普及率と有意性

最も危険な脆弱性の中で: SQL インジェクション攻撃は、最も古く、最も一般的で、最も危険な Web アプリケーションの脆弱性の 1 つです。 数十年にわたる認識と使用可能な防御にもかかわらず、SQL インジェクションは引き続き一般的な攻撃ベクトルです。

OWASP 認識: OWASP 組織 (Open Web Application Security Project) は、OWASP Top 10 ドキュメントでインジェクション攻撃を目立つように一覧表示し、Web アプリケーションにとって最も重大なセキュリティ リスクを特定します。 この一覧の継続的な存在は、脅威としての SQL インジェクションの継続的な関連性を示しています。

それが持続する理由:

  • レガシ アプリケーション: 多くの古いアプリケーションは、SQL インジェクションが十分に理解される前に構築されており、適切な防御で更新されていません。
  • 開発者の認識のギャップ: すべての開発者が適切なセキュリティ トレーニングを受けるわけではないため、新しいアプリケーションでも脆弱なコードが発生します。
  • 最新のアプリケーションの複雑さ: データベース クエリが多い大規模なコードベースでは、多数の潜在的な挿入ポイントが提供されます。
  • 時間圧力: 開発の期限は、セキュリティ プラクティスのショートカットにつながる場合があります。

予防が不可欠

SQL インジェクション攻撃について理解することは、防止の第一歩です。 組織は次のことが必要です。

  • セキュリティで保護されたコーディングプラクティスについて開発者をトレーニングします。
  • パラメーター化されたクエリと準備されたステートメントを使用します。
  • すべてのユーザー入力を検証してサニタイズします。
  • 最小限の特権の原則をデータベース アカウントに適用します。
  • 自動脆弱性スキャンを含む定期的なセキュリティ テストを実施します。
  • セキュリティに重点を置いたコード レビューを実行します。
  • 疑わしいデータベース アクティビティがないかアプリケーションを監視します。

その他のリソース

Azure セキュリティ センター チームは、ウイルス攻撃、DDoS 攻撃、データ流出シナリオなど、さまざまな種類の攻撃をトリガーするために脆弱性がどのように悪用されるかを調べることができる ワークフロー自動化プレイブック を提供します。 これらのプレイブックは、実際の攻撃パターンを示し、セキュリティ チームが適切な防御を準備するのに役立ちます。