脆弱性診断ツールだけでは見つけられないDBセキュリティの脅威やるなら今! DBセキュリティ対策

Webサイトと連動するデータベースが今、狙われている。SQLインジェクション攻撃によるデータ詐取やサイト改ざんが再燃し始めた。大切なデータを不正攻撃から守る手段をツール、サービス、運用で見ていく。

2008年09月02日 08時00分 公開
[大野祐一,ラック]

攻撃者の関心は金目のデータにあり

 今、インターネットからSQLインジェクション(※1)という攻撃を通じて、データベース(DB)内に格納された個人情報(特に電子メールアドレス)に始まり、クレジットカード情報、さらにはオンラインゲームのアカウント情報までもが狙われている(表1)。

※1 第三者がWebアプリケーションなどのセキュリティ上の脆弱性を悪用してデータベースの不正な操作を可能とする攻撃手法。

 個人情報やメールアドレスは通常、攻撃者と名簿業者やスパムメール業者などの間で売買されている。またオンラインゲームのアカウントは、普通に取引サイトで売買されている。表向きはゲームをする時間がない人が時間を金で買うために、「アカウント+レアなアイテムや経験値」という形で売られている。一方、クレジットカード情報の場合は、売買取引ではなく、カード番号、有効期限に加えて当該サイトにログインするためのパスワードを詐取することで、通販サイトで換金しやすい航空券やイベントの入場券などのチケットや商品を購入し、それらを金券ショップや再販売などで現金化しているようだ。

表1 表1●SQLインジェクション攻撃の目的別分類。最終的にはお金目当て

 少し毛色が違うように感じるが、ほかの脆弱サイトを検出、攻撃するための攻撃拠点を増やすためにDBのデータを狙うケースもある。最近はHTMLの一部を動的に変化させるために、DBに項目を入れておくような作りが多い。攻撃者はそこに目を付け、そのHTMLに使われているDBの項目を改変することでページを改ざんし、結果的にアクセスしてきた利用者のPCにダウンローダ、キーロガーおよびトロイの木馬などのマルウェアを強制的にダウンロードさせる。そして、感染したPCから直接クライアント情報を抜き出したり、次の攻撃時に攻撃拠点の一部にするなどの形で悪用するのだ。

会員登録(無料)が必要です

Copyright © ITmedia, Inc. All Rights Reserved.

新着ホワイトペーパー

製品資料 サイバーソリューションズ株式会社

添付パスワードを分けても意味がない? PPAPのファイル送受信が安全でない理由

ファイル共有のセキュリティ対策として広く浸透している「PPAP」だが、昨今、その危険性が指摘され、PPAPを廃止する企業が急増している。PPAP問題とは何かを考えながら、“脱PPAP”を実践する2つのステップを紹介する。

製品資料 株式会社クオリティア

「脱PPAP」の3つの手段を比較、自社に合うアプローチをどう選ぶ?

PPAPのセキュリティリスクが指摘される中、「脱PPAP」の動きが加速している。その手段としては、「クラウドストレージを使う方法」「添付ファイル分離サービス」「TLS確認」3つが主に考えられるが、それぞれどのような特徴があるのか。

製品資料 株式会社クオリティア

失敗しない脱PPAPの勘所、主要な3つの代替手段から自社に適したものを選ぶ秘訣

多くの企業が、パスワード付きZIPファイルとパスワードをメールで別送する手法(PPAP)の代替手段を模索している。そこで本資料では、代表的な3つの手法の中から「TLS確認機能」のメリットを詳しく解説する。

製品資料 Utimaco Japan合同会社

実用化が迫る量子コンピュータ 技術革命とともに訪れる「量子脅威」への対策は

量子コンピュータの実用化が迫る中、既存の暗号化技術の脆弱性が危惧されるようになってきた。こうした中、量子脅威への対策として注目されるのが、「ポスト量子暗号(PQC)アルゴリズム」だ。その特長と、導入に向けた注意点を解説する。

製品資料 Utimaco Japan合同会社

分散した機密データを守る、“暗号化鍵の集中管理”の実現方法とは?

機密データを高度なセキュリティ環境で管理することは、多くの企業にとって重要な課題になっている。その実現方法として、暗号化鍵による管理が注目されている。管理負担を軽減しながら暗号化鍵の管理を実現するにはどうすればよいのか。

アイティメディアからのお知らせ

From Informa TechTarget

「テレワークでネットが遅い」の帯域幅じゃない“真犯人”はこれだ

「テレワークでネットが遅い」の帯域幅じゃない“真犯人”はこれだ
ネットワークの問題は「帯域幅を増やせば解決する」と考えてはいないだろうか。こうした誤解をしているIT担当者は珍しくない。ネットワークを快適に利用するために、持つべき視点とは。

ITmedia マーケティング新着記事

news017.png

「サイト内検索」&「ライブチャット」売れ筋TOP5(2025年5月)
今週は、サイト内検索ツールとライブチャットの国内売れ筋TOP5をそれぞれ紹介します。

news027.png

「ECプラットフォーム」売れ筋TOP10(2025年5月)
今週は、ECプラットフォーム製品(ECサイト構築ツール)の国内売れ筋TOP10を紹介します。

news023.png

「パーソナライゼーション」&「A/Bテスト」ツール売れ筋TOP5(2025年5月)
今週は、パーソナライゼーション製品と「A/Bテスト」ツールの国内売れ筋各TOP5を紹介し...