SQLインジェクション ～データベースに向けられる攻撃～【Ｐマーク取得の基礎知識】

自社でウェブサイトを運営しているプライバシーマーク（Pマーク）取得会社はウェブサイトに関連するセキュリティ上の脅威や脆弱性のための対策を講じなければなりません。

今回はそのような脅威の中でも代表的なものであるSQLインジェクションについてまとめたいと思います。内容は至って技術的ですが、個人情報なども格納されたデータベースと連動するウェブサイトを自社で持っているプライバシーマーク（Pマーク）取得会社であればぜひとも理解しておきたい内容です。

SQLインジェクションとは何か

初めに「SQLインジェクション」とは何かをご説明します。SQLインジェクションとは、ウェブサイト内に設置された入力画面に不正な命令文を入力し、そのウェブサイトと接続されたデータベースから個人情報を引っ張り出す手法のことです。

そもそも「SQL」とはデータの定義や操作・制御を行うためのデータベース言語のことで、「インジェクション」とは注入するという意味です。

たとえば多くのウェブサイトにはログイン画面のページがあり、そこにユーザー情報とパスワードを入力することでユーザーがログインできるしくみになっているわけですが、悪意のある攻撃者はその入力欄に本来の意図とは異なる命令文すなわちSQLを入力することによって不正に情報を取得するのです。

どこから情報を不正取得するのか？ それはそのウェブサイトを運用しているウェブサーバと連動したデータベースからです。もしそのデータベースにおびただしい数の顧客またはユーザーの情報が保存されているのであれば、そのすべてが無制限に漏えいしてしまうという危機が現実に起こるわけです。

情報漏えいだけではない

個人情報などが漏えいしてしまうだけでもプライバシーマーク（Pマーク）取得会社にとっては恐ろしいことですが、SQLインジェクションの引き起こす問題は決して情報漏えいだけではありません。

そのように直接情報が盗まれてしまう被害の他にも、ウェブサイト上にウイルスが埋め込まれてしまったりウェブサイトの内容が改ざんされてしまったりする可能性さえあるのです。

実際SQLインジェクションによる被害は2004年ごろから報告され始め、わけても2008年ごろにはクレジットカード情報を含む個人情報が漏えいする事件が多発しており、それ以降現在に至るまで一定数の被害が確認されていると言われています。

情報漏えいが発生した場合のダメージ

どの会社においても情報漏えいが発生した場合には会社と顧客双方に計り知れないダメージが及びます。プライバシーマーク（Pマーク）を取得している会社においてウェブサイトを経由した情報漏えいが発生した場合も、そのたった一度の事故で企業全体が存続の危機にさらされるかもしれないのです。

まとめ

プライバシーマーク（Pマーク）取得会社はSQLインジェクション攻撃への対策も含め個人情報保護に関わる管理策は徹底的に施しておくべき言えます。

プライバシーマーク（Pマーク）を取得・更新したい！ そんなときはユーピーエフにご相談ください。
https://upfsecurity.co.jp/pmark/#contact_box

こちらの記事もおすすめです

→【Pマークって日本だけ？】