SQLインジェクションとは | 具体的な攻撃例と対策方法

SQLインジェクションって言葉をよく聞きますが、どういうモノなんですか？

Webサイトの脆弱性を狙ったサイバー攻撃の一種だよ。

データベースに命令するSQL文を不正操作して、データベースに保存されている個人情報などを盗み取る攻撃ですよね。

そうだね。本記事ではSQLインジェクションの具体的な攻撃例や被害例、対策などを分かりやすく説明していきます。

スポンサーリンク

SQLインジェクションとは

SQLインジェクションとは、入力フォームから入力した「SQL文を含む文字列」で、アプリケーションが想定しないSQL文を実行させることにより、データベースを不正操作するサイバー攻撃の一種です。

上記は、SQLインジェクションのイメージ図です。SQLインジェクション対策をしていないWebサイトに対し、悪意のある攻撃者が「SQL文を含む文字列」で検索や登録を行います。

その結果、アプリケーション側が想定していない「悪意のある攻撃者」のよる不正操作されたSQL文を実行してしまうのです。

「SQL文を含む文字列」って具体的にどういうモノなんですか？

攻撃方法は様々なんだ。それでは具体的な攻撃例の一部を紹介するよ。

SQLインジェクションの攻撃例

[攻撃例1] 不正ログイン

よくあるログイン画面です。「ID」と「パスワード」が一致しなければログインすることができません。

しかし「SQLインジェクション対策」をしていないと、「ID」と「パスワード」を知らなくてもログインできてしまう可能性があるのです。

その攻撃方法とは「ID」に以下の文字列を入力してログインするだけです。※パスワードには何もいれなくて平気です。

1' or '1' = '1';--

これだけでログインできるの？

前提として以下のSQL文が利用されているとします。このSQL文で画面から入力された「ID」と「パスワード」がデータベースに存在するか確認し、存在すればログイン成功、存在しなければログイン失敗と判断します。

SELECT id,pass FROM login_user WHERE id='入力されたID' AND pass='入力されたパスワード';

このSQL文に先ほどの「ID」と「パスワード」を当てはめると、以下のようなSQL文が作られます。

SELECT id,pass FROM login_user WHERE id='1' or '1' = '1'-- AND pass='';

まず「id」の条件が"1" または"1 = 1"という条件になっているので、結果は必ずtrueです。

そしてSQL文で「-- 」はコメントアウトを表します。そのためパスワードが一致するかを確認するための条件文「-- AND pass='';」はコメントとして扱われ無視されます。

スポンサーリンク

[攻撃例2] 情報漏洩

会員登録画面などの入力フォームです。今回は「名前」と「メールアドレス」を登録する画面があるとします。

各項目に以下を入力し登録。

名前：山田太郎', (select user_password from user_password where id='1' limit 0,1)) -- おわり
住所：aaa@co.jp

前提として以下のINSERT文が利用されているとします。このSQL文で画面から入力された「名前」と「メールアドレス」が「users」テーブルに登録されます。

INSERT INTO users (name,mail_address) VALUES ('入力された名前','入力されたメールアドレス')

また他人のパスワードを管理している「user_password」テーブルを用意します。このデータを「SQLインジェクション」の攻撃で盗み取ることを目的とします。

※通常パスワードは「ハッシュ化」してDBに格納するのが一般的ですが、ここではあえて平文で登録しています。

INSERT文に画面から入力された「名前」と「メールアドレス」を当てはめると、以下のようなSQL文が作られます。

INSERT INTO users (name,mail_address) VALUES ('山田太郎', (select user_password from user_password where id='1' limit 0,1)) -- おわり','aaa@co.jp')

1. カラム：name → 画面から入力された「山田太郎」が登録される。
2. カラム：address → 「select user_password from user_password where id='1' limit 0,1」という文字列が入っています。この文字列は、ユーザーパスワードTBL（user_password）から「id = 1」の条件と一致する「user_password」を取得するサブクエリです。
3. その結果、カラム：address → 「password」が登録されます。
4. そして、INSERT文の最後にある「-- おわり','aaa@co.jp')」という文字列。これは「-- 」から後ろはコメントアウトという意味です。

結果、実際に実行されたINSERT文（コメントアウト部分を除く）は、以下と同じです。

INSERT INTO users (name,mail_address) VALUES ('山田太郎', (select user_password from user_password where id='1' limit 0,1))

そして、登録内容を閲覧する画面で登録データを見ると、メールアドレスの所に「password」が表示され、他人の個人情報を奪い取る事に成功しています。

サブクエリを使えば、簡単に他のテーブルからデータを取得することが出来るんですね・・・。

[攻撃例3] データ改ざん

商品の検索画面などの入力フォームです。今回は「商品名」で検索する画面があるとします。

そして「商品名」を完全一致で検索するSQL文を利用します。

SELECT * FROM item_info WHERE item_name = '入力された商品名';

ここで商品名に以下を入力して検索。

商品名：'; DELETE FROM item_info WHERE 'A' = 'A

SELECT文に画面から入力された「商品名」を当てはめると、以下のようなSQL文が作られます。

SELECT * FROM item_info WHERE item_id = ''; DELETE FROM item_info WHERE 'A' = 'A'

これで「SELECT * FROM item_info WHERE item_id = ''」と「DELETE FROM item_info WHERE 'A' = 'A'」の2つのSQL文が作られました。

なぜならセミコロン「;」を使うことでSQLを複数のSQL文を連結させることができるからです。

結果、「item_info」テーブルの全データが削除されてしまいました。

このようにセミコロン「;」を使うことで、データベースのデータを「改ざん」することが出来ます。

スポンサーリンク

SQLインジェクションの被害事例

個人情報を狙った攻撃が多いですね。

そうだね。個人情報の流出を防ぐためにも「SQLインジェクション対策」は非常に重要なんだ。

SQLインジェクションの対策方法

スポンサーリンク

[対策1] SQL文の組み立ては「プレースホルダ」で実装する

SQLインジェクションの一般的な対策方法は「プレースホルダ」を使いSQL文を組み立てることです。

プレースホルダによる組み立てとは、パラメータ部分を「?」などの記号で示しておき、後から実際の値を機械的な処理で割り当てる方法。

以下は Java における「プレースホルダ」による組み立ての例です。

ps = conn.prepareStatement("INSERT INTO users (name,address) VALUES (?,?)");
ps.setString(1, name);
ps.setString(2, address);

パラメータを「プレースホルダ」で指定することで、入力された文字列は「ただの文字列」と判断されSQLインジェクションによる攻撃を防ぐことができます。

[対策2] エスケープ処理を行う

SQL 文を構成する要素には、キーワード、演算子、識別子、リテラルなどがあります。

SQL 文の組み立てを文字列連結により行う場合は、リテラル内で特別な意味を持つ記号文字をエスケープ処理します。（たとえば、「'」→「''」、「\」→「\\」等）

特殊な意味を持つ記号文字をエスケープすることで、SQLインジェクションによる攻撃を防ぐことができます。

[対策3] WAF（Web Application Firewall）の導入

WAF（Web Application Firewall）とは、Webアプリケーションの脆弱性を突いた攻撃からWebアプリケーションを保護するセキュリティ対策の一つです。

このWAFを利用するのも、有効なSQLインジェクション対策となります。