国民のための情報セキュリティサイト 国民のための情報セキュリティサイト
アニメの使い方更新履歴このサイトの利用方法サイトマップリンク集ダウンロードお問い合わせ
知識事故・被害の事例事例19:SQLインジェクションでサーバーの情報が・・・ トップページへ戻る
事故・被害の事例
資料請求の情報が漏洩した
私の名前で誰かがメールを
ホームページを見ただけで…
ホームページが書き換えられた
猛威!デマウイルス
メールが他人に読まれている?
ネットストーカーに注意
顧客のメールアドレスが漏洩
対策は万全なはずなのに…
送った覚えがないのに…
オークションの商品が届かない
そんな簡単に儲かるの?
他人のIDで不正にオンライン株取引
中古パソコンによるデータの漏洩
クレジットカード番号が盗まれた
情報セキュリティ対策は万全だったはずなのに・・・
ファイル共有ソフトが原因で・・・
ワンクリック詐欺って怖い・・・
SQLインジェクションでサーバーの情報が・・・
事例19:SQLインジェクションでサーバーの情報が・・・

SQLインジェクションでサーバーの情報が・・・ Wさんの会社は、自社製品を販売するためにショッピングサイトを構築することになりました。会社には情報システム部もないし、ITに精通したスタッフもいません。担当部署の中で一番若く、コンピュータに詳しいという理由で、Wさんが専任者に選ばれたのです。

 さて、早速業者にホームページ制作とシステムの構築を依頼し、なんとかショッピングサイトの公開にこぎ着けました。直販サイトなので価格も安く、ここでしか販売しない商品を取りそろえたのが良かったのでしょうか、運用開始直後から少しずつ売り上げも伸びてきました。このまま行けば、人気サイトと呼ばれる日も近いのかもしれません。

 そんなある日のことです。このサイトが繁盛していることを知った悪意のある人間がいました。彼は会員ページの入り口にあるログオンページに目を付けました。ログオンページのユーザーID入力欄にコマンドを含む特殊な文字列を入力するSQLインジェクションという手法を試みたところ、なんとパスワードを知らなくても会員ページにログオンできてしまうことが分かりました。会員ページに入ってしまえば、会員の住所や氏名、電話番号、購入履歴の他に、クレジットカード番号まで参照できるのです。このような方法で、Wさんの会社のショッピングサイトから会員の個人情報が大量に漏洩してしまったのです。

 実際に、このWさんの会社のように、数多くのホームページでSQLインジェクションによる被害が多発しています。中には、会員情報がまとめて漏洩するケースや、ホームページが改ざんされて悪質なサイトに誘導するような仕掛けを組み込まれたケースもあります。

アニメーションで説明を見る紙芝居で説明を見る

ページ参照対策:SQLインジェクションへの対策(自設サーバー利用者向け)
ページ参照対策:SQLインジェクションへの対策(情報管理担当者向け)

(2009年3月作成)

国民のための情報セキュリティサイトトップへ