2008年09月02日 08時00分 UPDATE
特集/連載

やるなら今! DBセキュリティ対策脆弱性診断ツールだけでは見つけられないDBセキュリティの脅威

Webサイトと連動するデータベースが今、狙われている。SQLインジェクション攻撃によるデータ詐取やサイト改ざんが再燃し始めた。大切なデータを不正攻撃から守る手段をツール、サービス、運用で見ていく。

[大野祐一,ラック]

攻撃者の関心は金目のデータにあり

 今、インターネットからSQLインジェクション(※1)という攻撃を通じて、データベース(DB)内に格納された個人情報(特に電子メールアドレス)に始まり、クレジットカード情報、さらにはオンラインゲームのアカウント情報までもが狙われている(表1)。

※1 第三者がWebアプリケーションなどのセキュリティ上の脆弱性を悪用してデータベースの不正な操作を可能とする攻撃手法。

 個人情報やメールアドレスは通常、攻撃者と名簿業者やスパムメール業者などの間で売買されている。またオンラインゲームのアカウントは、普通に取引サイトで売買されている。表向きはゲームをする時間がない人が時間を金で買うために、「アカウント+レアなアイテムや経験値」という形で売られている。一方、クレジットカード情報の場合は、売買取引ではなく、カード番号、有効期限に加えて当該サイトにログインするためのパスワードを詐取することで、通販サイトで換金しやすい航空券やイベントの入場券などのチケットや商品を購入し、それらを金券ショップや再販売などで現金化しているようだ。

表1 表1●SQLインジェクション攻撃の目的別分類。最終的にはお金目当て

 少し毛色が違うように感じるが、ほかの脆弱サイトを検出、攻撃するための攻撃拠点を増やすためにDBのデータを狙うケースもある。最近はHTMLの一部を動的に変化させるために、DBに項目を入れておくような作りが多い。攻撃者はそこに目を付け、そのHTMLに使われているDBの項目を改変することでページを改ざんし、結果的にアクセスしてきた利用者のPCにダウンローダ、キーロガーおよびトロイの木馬などのマルウェアを強制的にダウンロードさせる。そして、感染したPCから直接クライアント情報を抜き出したり、次の攻撃時に攻撃拠点の一部にするなどの形で悪用するのだ。

この記事を読んだ人にお薦めのホワイトペーパー

この記事を読んだ人にお薦めの関連記事

Loading

注目テーマ

ITmedia マーケティング新着記事

news148.jpg

Supership、独自データと位置情報を掛け合わせたオーディエンス広告配信を提供開始
Supershipは2016年9月29日、位置情報に基づいた効果的な広告配信を実現する「Supership G...

news139.jpg

「F.O.X」で計測したデータを「TREASURE DMP」内で分析可能に
CyberZとトレジャーデータは連携し、スマートフォン広告向けソリューションツール「Force...

news133.jpg

シャノンとソフトブレーンが連携、マーケティングデータを活用した営業支援を強化
ソフトブレーンとシャノンは業務提携し、マーケティングデータを有効に活用し、戦略的な...