国民のための情報セキュリティサイト 国民のための情報セキュリティサイト
アニメの使い方更新履歴このサイトの利用方法サイトマップリンク集ダウンロードお問い合わせ
対策自設サーバー利用者SQLインジェクションへの対策 トップページへ戻る
「ホームページ開設者」の情報セキュリティ対策:自設サーバー利用者
著作権侵害に注意
個人情報の公開の危険性
電子掲示板へのいやがらせ
サーバー設定の確認
ログの管理
セキュリティホールへの対策
個人情報の保管方法
パスワードの管理
踏み台にされないように
掲示板に個人情報が公開された場合の対処方法
SQLインジェクションへの対策
情報セキュリティを向上するためには
SQLインジェクションへの対策

 自分のサーバーデータベースを利用したWebアプリケーションを公開している場合には、SQLインジェクションへの対策が大切です。SQLインジェクションは、Webサーバーを経由したデータベース接続を利用した攻撃方法です。

SQLインジェクションによる攻撃

 SQLインジェクションへの対策を行っていないWebサイトでは、例えばログオン画面でパスワードの欄に不正なデータベース命令を実行するための文字列を入力することで、パスワードを知らなくてもそのユーザーとしてログオンし、クレジットカード番号などの個人情報を取得されてしまうことがあります。また、別の方法によって、データベースに格納されているデータを一括で取り出されてしまったり、データが不正に改ざんされたりすることもあります。最近は、このような手法による個人情報の漏洩事件が相次いで発生しています。

 また、SQLインジェクションを利用した特殊な命令によって、サーバー上のファイルを書き換えることで、Webページが改ざんされてしまう事件も発生しています。書き換えられたWebページでは、多くの場合、訪問者には分からないような状態(表面上は正規サイトがそのまま表示される)で、ユーザーを悪質なWebサイトに誘導したり、iframeタグで埋め込んだ別のWebサイトからウイルスに感染させたりすることが多いようです。

 Webサーバーデータベースと連携したプログラムを実行している場合には、必ず以下のような対策を心がけるようにしてください。

Webサーバー上のプログラム(スクリプト)でSQLインジェクション対策(不正な入力値による処理を防ぐなど)を行うこと。
Webサイトシステムから表示されるエラーメッセージをそのまま表示しないようにすること(攻撃者に対してヒントを与えてしまうことになるため)。
システムで利用するデータベースアカウントに対しては、最低限の権限だけを設定すること。
定期的にアクセスログから攻撃数を検出し、攻撃内容の解析を行うこと。
定期的にWebサイト全体の脆弱性検査を行うこと。

 何よりも大切なことは、常に情報セキュリティに関する情報を収集して、新しいハッキング方法が公開された場合には、自分の利用しているサーバーで必要な対策を迅速に実施することです。

ページ参照事例19:SQLインジェクションでサーバーの情報が・・・

(2009年3月作成)

国民のための情報セキュリティサイトトップへ