SQL・HTMLインジェクションとは?2つの脆弱性による被害

  • このエントリーをはてなブックマークに追加
  • Pocket
  • LINEで送る
security_162

近年、Webサイトの悪用による個人情報漏えい、マルウェアの拡散などの被害が急速に増加しています。信用問題にかかわるWebセキュリティ対策に力を入れる企業が増えていますが、日本は海外企業に比べて遅れをとっています。

2015年に国内外から日本に対して行われたサイバー攻撃は約545億1千万件と2014年から約2倍に増え、早急なWebセキュリティ対策が求められています。

今回は、Webサイトの脅威となる脆弱性、「SQLインジェクション」「HTMLインジェクション」について解説します。

そもそもインジェクションとは?

インジェクション(injection)とは、内部に何かを注入することを意味します。情報セキュリティで使われるインジェクション攻撃とは、プログラムが受け取る入力データの中にセキュリティを侵害するようなコマンドを巧みに混入し、それをコンピュータ内部で機能させて攻撃する手口のことをいいます。

インジェクション攻撃を通す脆弱性の代表的なものが、SQLインジェクション、HTMLインジェクションです。

SQLインジェクションとは?

SQLインジェクションとは、ウェブ上で管理されるデータベースに攻撃を仕掛けるための一つの手法です。一言で言うと不正にSQLを書き換えてしまう攻撃です。※ SQLとは「Structured Query Language」の略で、リレーショナルデータベースの操作を行うための言語の一つ。

データベースと連携したウェブアプリケーションの多くは、利用者からの入力情報を基にSQL文を構成しています。ここで、SQL文の構成に問題がある場合、攻撃によってデータベースを不正利用される可能性があります。

データベースは、安全なSQLであるか不正に書き換えられたSQLであるかを見分けることはできません。文法さえ正しければSQLを実行します。

security_161

HTMLインジェクションとは?

HTMLインジェクションとは、ユーザーのブラウザ上において、サイト管理者の意図しないHTML(スクリプトも含む)を組み込む攻撃です。 Webサイトに悪意のあるHTML(スクリプト)を埋め込み、閲覧者が入力した情報を意図しない別のサイトに送信することが可能です。

security_160

HTMLインジェクションを利用した手口

  • 攻撃者がアンケートサイトなど、個人情報を入力・送信するサイトに罠を仕掛ける
  • 悪意あるスクリプトが利用者のブラウザで実行され、偽ページが表示される
  • 偽サイトと気づかずに利用者がデータを入力・送信

SQLインジェクションによる被害

SQLインジェクションにより引き起こされる被害の代表的なものとして以下の3点をご紹介します。

  • 個人情報漏えい
  • バックドアの設置
  • Webサイト改ざん

いずれも、社会的な信用の失墜だけでなく、Webサイト・サーバの修復費、ユーザーへの謝罪費用(集団訴訟の可能性も)など多大な損害を被ることになります。

個人情報漏えい

SQLインジェクションにおける最大の脅威は、「個人情報や企業の機密情報などの情報の漏えい」です。個人情報漏えいにより、企業の信用は失墜、被害者への謝罪費用など多大なダメージを負うことになります。

Webサイト運営者として脆弱性への対応を怠っていると、集団訴訟を起こされた場合、敗訴する可能性があります。その場合の費用は莫大になる可能性があります。

個人情報漏えいの被害事例を紹介します。

株式会社サウンドハウス

サーバがクラッキングされ、97,500名分のクレジットカード番号を含む個人情報が流出した。クレジット会社からは加盟店契約を解除された。お詫びとして、2007年1月1日~2008年3月22日までに新規会員登録した、122,884名に1000円相当(約1億2000万円相当)の期限付きクレジットを負担した。

ソニーマーケティング株式会社

2011年4月、ソニーが運営するPlayStation Network(以下、PSN)において大規模な個人情報流出が発生しました。攻撃者は、SQLインジェクションの手法を使い、7,700万人分の個人情報が漏えいしたと言われています。

ソニーは集団訴訟を起こされ、米カリフォルニア州南部地方裁判所に提出された文書によると、集団訴訟に原告として加わった人々に、1500万ドル相当(15億円相当)のゲームとサービスを無料で提供することで和解となりました。

バックドアの設置

バックドアはコンピュータウイルスの一種で、ネットワークを通じて外部からコンピュータを自由に操作できるような経路のことです。一度、設置に成功されると、次回からの侵入は簡単にできてしまいます。いわゆる「コンピュータが乗っ取られた状態」になります。

バックドアウイルス=乗っ取られた状態ですので、遠隔操作が可能になります。遠隔操作され機密情報や重要情報が盗まれる、削除される、ネットワーク攻撃の「踏み台」として利用される、勝手に掲示板への犯罪予告に利用されるなどの危険があります。

バックドアの被害事例を紹介します。

パソコン遠隔操作事件

2012年に他社のパソコンを遠隔操作し、掲示板に襲撃や殺人などの犯罪予告を行った「パソコン遠隔操作事件」があります。

警察は、遠隔操作されていたことに気づかず書き込みを行ったパソコンの所有者4名誤って逮捕しました。その後、5人目に逮捕しようとした男性のパソコンから、たまたまウイルスが見つかったため、冤罪であることが判明しました。

security_159

もし、ウイルスが見つかっていなければ、遠隔操作されていることに気づくことはなかったかもしれません。

Webサイトの改ざん

Webサイトの改ざんは、Webサービスに影響をもたらすだけでなく、ユーザーに被害を与えることになります。Webサイトを改ざんすることで、マルウェアをダウンロードするサイトへ一般の利用者を誘導することができます。
※マルウェアとは、不正かつ有害な動作を行う意図で作成された悪意のあるソフトウェアや悪質なコードの総称です。

攻撃者は、一般利用者のPCをマルウエアに感染させ、感染したPCをどんどん増やしていきます。PCをマルウェアに感染させ犯罪の踏み台として利用します。

Webサイト改ざんの被害事例を紹介します。

株式会社エイチ・アイ・エス

Flash Playerの脆弱性を狙われ、古いバージョンを使っていたユーザがH.I.Sのサイトを閲覧した場合、マルウェアに感染するように仕組まれていました。

security_150

株式会社KADOKAWA

Webサイト改ざんが行われていた期間中に、脆弱性を修正していないWindows環境で閲覧した場合、PCにマルウェアが組み込まれ、個人情報が盗まれる状態だったとして謝罪しています。

security_151

トヨタ自動車株式会社

Webウェブサイトの一部が改ざんされ、改ざん期間中に該当するコンテンツを閲覧した場合、不正プログラムが自動的に実行される状態になっていた。

security_152

HTMLインジェクションによる被害

HTMLインジェクションにより引き起こされる被害の代表的なものとして以下の2点をご紹介します。

  • Cookie(クッキー)情報の抜き取り
  • 個人情報漏えい

いずれも、社会的な信用の失墜だけでなく、Webサイトの修復費、ユーザーへの謝罪費用(集団訴訟の可能性も)など多大な損害を被ることになります。

Cookie(クッキー)情報の抜き取り

Cookieとは、 Webサイト側がユーザーのアカウント情報や個人情報をブラウザに保持させるものです。ログインページを例とすると、一度ログインすれば再度ログインする際に、ログインページをスキップすることができます。

攻撃者は、このCookie情報を狙っています。IDやパスワードなどの重要情報のCookie情報を抜き取ってしまいます。これを「セッションハイジャック」と呼びます。

抜き取った情報をもとに不正ログインを行い、個人情報やクレジットカード情報をみることができます。

不正ログインの被害事例を紹介します。

LINE株式会社

2014年6月ごろ、不正ログインによるアカウントの乗っ取り被害が続出。ユーザーになりすまし、友人に電子マネーの導入を促して金銭を詐取するという手口で、実際にだまし取られる被害も出た。被害額は約2800万円(2014年10月警視庁発表)

NTTドコモ

2014年9月29日、docomo IDへの外部からの不正なログインがあったことが判明した。6072名の携帯電話番号、お客様氏名、ご自宅住所、ご自宅電話番号、生年月日、口座情報、DCMXカードの利用履歴、ご契約内容が閲覧された可能性がある。

個人情報漏えい

HTMLインジェクションは、訪問者の個人情報の入力を促す入力フォーム(HTMLタグ)を埋め込み、個人情報の不正搾取を行います。

個人情報漏えいの事例は上述で説明した内容と同様となります。

インジェクション対策は”責務”である

経済産業省は、2006年2月20日、「個人情報保護法に基づく個人データの安全管理措置の徹底に係る注意喚起」と題する文書において、「SQLインジェクションによるデータベースの不正利用を防止することが必要」と注意喚起を促しています。

  • このエントリーをはてなブックマークに追加
  • Pocket
  • LINEで送る

今、注意すべき攻撃手口はこれ!【2016年最新セキュリティ脅威レポート】 特別プレゼント

・「セキュリティ診断」で何がわかるの?
どんな危険が見つかっているの?
どんな被害が発生しているの?

もし、あした「情報漏えい事故」であなたの会社がニュースになったら?
攻撃者は、自動攻撃ツールを使って24時間365日、攻撃できるスキマを狙っています。
セキュリティ事故は、いつ起きてもおかしくありません。

【2016年最新セキュリティ脅威レポート】では、弊社が実際に疑似攻撃(ペネトレーションテスト)をおこない、検証した結果から、2016年注意すべき脆弱性・実際に多かった不備などをお伝えします。

「今、どんな被害が起きているのか?」
最新のセキュリティ脅威を知って、事故を未然に防ぎませんか?
ぜひダウンロードして、今後のセキュリティ対策にお役立てください。


【2016年最新セキュリティ脅威レポート】目次
1. おもなWebアプリケーション診断項目
2. ペネトレーションテスト内容とは?
-2015年度ペネトレーションテスト初回診断時総合評価の結果一覧
-脅威レベル深刻度別・脆弱性の該当比率一覧
3. 2015年度に多く検出された脆弱性とは?
4. ペネトレーションテストで発見した、新らなる脅威とは?
-最近また増えた、ウイルス感染配布サイト
-パケット改ざんプログラムによる被害

セキュリティレポートをダウンロードする >