事例8:SQLインジェクションでサーバの情報が・・・

SQLインジェクションでサーバの情報が・・・

  Wさんの会社は、自社製品を販売するためにショッピングサイトを構築することになりました。会社には情報システム部もないし、ITに精通したスタッフもいません。担当部署の中で一番若く、コンピュータに詳しいという理由で、Wさんが専任者に選ばれたのです。

  さて、早速業者にホームページ制作とシステムの構築を依頼し、なんとかショッピングサイトの公開にこぎ着けました。直販サイトなので価格も安く、ここでしか販売しない商品を取りそろえたのが良かったのでしょうか、運用開始直後から少しずつ売り上げも伸びてきました。このまま行けば、人気サイトと呼ばれる日も近いのかもしれません。

  そんなある日のことです。このサイトが繁盛していることを知った悪意のある人間がいました。彼は会員ページの入り口にあるログインページに目を付けました。ログインページのユーザID入力欄に、コマンドを含む特殊な文字列を入力する「SQLインジェクション」という手法を試みました。すると、なんとパスワードを知らなくても、会員ページにログインできてしまうことが分かりました。会員ページに入ってしまえば、会員の住所や氏名、電話番号、購入履歴の他に、クレジットカード番号まで参照できるのです。このような方法で、Wさんの会社のショッピングサイトから会員の個人情報が大量に漏洩してしまったのです。

  実際に、このWさんの会社のように、数多くのホームページでSQLインジェクションによる被害が多発しています。中には、会員情報がまとめて漏洩するケースや、ホームページが改ざんされて悪質なサイトに誘導するような仕掛けを組み込まれたケースもあります。個人情報のような重要な情報を扱う企業・組織では、SQLインジェクションの原因となる脆弱性(ぜいじゃくせい)への対策をしっかりとらなければなりません。