2008年09月02日 08時00分 UPDATE
特集/連載

やるなら今! DBセキュリティ対策脆弱性診断ツールだけでは見つけられないDBセキュリティの脅威

Webサイトと連動するデータベースが今、狙われている。SQLインジェクション攻撃によるデータ詐取やサイト改ざんが再燃し始めた。大切なデータを不正攻撃から守る手段をツール、サービス、運用で見ていく。

[大野祐一,ラック]

攻撃者の関心は金目のデータにあり

 今、インターネットからSQLインジェクション(※1)という攻撃を通じて、データベース(DB)内に格納された個人情報(特に電子メールアドレス)に始まり、クレジットカード情報、さらにはオンラインゲームのアカウント情報までもが狙われている(表1)。

※1 第三者がWebアプリケーションなどのセキュリティ上の脆弱性を悪用してデータベースの不正な操作を可能とする攻撃手法。

 個人情報やメールアドレスは通常、攻撃者と名簿業者やスパムメール業者などの間で売買されている。またオンラインゲームのアカウントは、普通に取引サイトで売買されている。表向きはゲームをする時間がない人が時間を金で買うために、「アカウント+レアなアイテムや経験値」という形で売られている。一方、クレジットカード情報の場合は、売買取引ではなく、カード番号、有効期限に加えて当該サイトにログインするためのパスワードを詐取することで、通販サイトで換金しやすい航空券やイベントの入場券などのチケットや商品を購入し、それらを金券ショップや再販売などで現金化しているようだ。

表1 表1●SQLインジェクション攻撃の目的別分類。最終的にはお金目当て

 少し毛色が違うように感じるが、ほかの脆弱サイトを検出、攻撃するための攻撃拠点を増やすためにDBのデータを狙うケースもある。最近はHTMLの一部を動的に変化させるために、DBに項目を入れておくような作りが多い。攻撃者はそこに目を付け、そのHTMLに使われているDBの項目を改変することでページを改ざんし、結果的にアクセスしてきた利用者のPCにダウンローダ、キーロガーおよびトロイの木馬などのマルウェアを強制的にダウンロードさせる。そして、感染したPCから直接クライアント情報を抜き出したり、次の攻撃時に攻撃拠点の一部にするなどの形で悪用するのだ。

この記事を読んだ人にお薦めのホワイトペーパー

この記事を読んだ人にお薦めの関連記事

Loading

注目テーマ

ITmedia マーケティング新着記事

news015.jpg

インターネットは信用できるのだろうか?
パーソナルデータのマーケティングへの利用を消費者はどう感じているか、ソーシャルログ...

news071.jpg

フィードフォース、セルフサービスでデータフィードの作成・管理が可能なプラットフォームを提供
フィードフォースは、データフィードの作成・管理・最適化を広告担当者自身で行うことの...

news081.jpg

Facebook広告にオフラインでの行動データを活用、アクシオムがデータ提供
フェイスブックジャパンとアクシオムジャパンは、アクシオムが提供するオフラインでの消...