2008年09月02日 08時00分 UPDATE
特集/連載

やるなら今! DBセキュリティ対策脆弱性診断ツールだけでは見つけられないDBセキュリティの脅威

Webサイトと連動するデータベースが今、狙われている。SQLインジェクション攻撃によるデータ詐取やサイト改ざんが再燃し始めた。大切なデータを不正攻撃から守る手段をツール、サービス、運用で見ていく。

[大野祐一,ラック]

攻撃者の関心は金目のデータにあり

 今、インターネットからSQLインジェクション(※1)という攻撃を通じて、データベース(DB)内に格納された個人情報(特に電子メールアドレス)に始まり、クレジットカード情報、さらにはオンラインゲームのアカウント情報までもが狙われている(表1)。

※1 第三者がWebアプリケーションなどのセキュリティ上の脆弱性を悪用してデータベースの不正な操作を可能とする攻撃手法。

 個人情報やメールアドレスは通常、攻撃者と名簿業者やスパムメール業者などの間で売買されている。またオンラインゲームのアカウントは、普通に取引サイトで売買されている。表向きはゲームをする時間がない人が時間を金で買うために、「アカウント+レアなアイテムや経験値」という形で売られている。一方、クレジットカード情報の場合は、売買取引ではなく、カード番号、有効期限に加えて当該サイトにログインするためのパスワードを詐取することで、通販サイトで換金しやすい航空券やイベントの入場券などのチケットや商品を購入し、それらを金券ショップや再販売などで現金化しているようだ。

表1 表1●SQLインジェクション攻撃の目的別分類。最終的にはお金目当て

 少し毛色が違うように感じるが、ほかの脆弱サイトを検出、攻撃するための攻撃拠点を増やすためにDBのデータを狙うケースもある。最近はHTMLの一部を動的に変化させるために、DBに項目を入れておくような作りが多い。攻撃者はそこに目を付け、そのHTMLに使われているDBの項目を改変することでページを改ざんし、結果的にアクセスしてきた利用者のPCにダウンローダ、キーロガーおよびトロイの木馬などのマルウェアを強制的にダウンロードさせる。そして、感染したPCから直接クライアント情報を抜き出したり、次の攻撃時に攻撃拠点の一部にするなどの形で悪用するのだ。

この記事を読んだ人にお薦めのホワイトペーパー

この記事を読んだ人にお薦めの関連記事

Loading

注目テーマ

ITmedia マーケティング新着記事

news100.jpg

電通、サイト解析ツールに調査モニターの属性データをリアルタイム連係する新サービスを提供
電通は、電通マクロミルインサイトと共同で新サービス「Agile Audience Analytics」の提...

news042.jpg

ユナイテッド、DSP「Bypass」にアプリ向け「リテンション広告」機能を提供
ユナイテッドは2016年6月27日、自社が提供するDSP「Bypass」に「リテンション広告」機能...

news036.jpg

Viibarがハリウッドのクリエイター団体「Swanky Flicks」と連携
動画マーケティングを支援する「Viibar」は、ハリウッドのクリエイター団体「Swanky Flic...