脆弱性診断ツールだけでは見つけられないDBセキュリティの脅威：やるなら今！　DBセキュリティ対策

Webサイトと連動するデータベースが今、狙われている。SQLインジェクション攻撃によるデータ詐取やサイト改ざんが再燃し始めた。大切なデータを不正攻撃から守る手段をツール、サービス、運用で見ていく。

[大野祐一，ラック]

攻撃者の関心は金目のデータにあり

　今、インターネットからSQLインジェクション（※1）という攻撃を通じて、データベース（DB）内に格納された個人情報（特に電子メールアドレス）に始まり、クレジットカード情報、さらにはオンラインゲームのアカウント情報までもが狙われている（表1）。

※1　第三者がWebアプリケーションなどのセキュリティ上の脆弱性を悪用してデータベースの不正な操作を可能とする攻撃手法。

　個人情報やメールアドレスは通常、攻撃者と名簿業者やスパムメール業者などの間で売買されている。またオンラインゲームのアカウントは、普通に取引サイトで売買されている。表向きはゲームをする時間がない人が時間を金で買うために、「アカウント＋レアなアイテムや経験値」という形で売られている。一方、クレジットカード情報の場合は、売買取引ではなく、カード番号、有効期限に加えて当該サイトにログインするためのパスワードを詐取することで、通販サイトで換金しやすい航空券やイベントの入場券などのチケットや商品を購入し、それらを金券ショップや再販売などで現金化しているようだ。

表1●SQLインジェクション攻撃の目的別分類。最終的にはお金目当て

　少し毛色が違うように感じるが、ほかの脆弱サイトを検出、攻撃するための攻撃拠点を増やすためにDBのデータを狙うケースもある。最近はHTMLの一部を動的に変化させるために、DBに項目を入れておくような作りが多い。攻撃者はそこに目を付け、そのHTMLに使われているDBの項目を改変することでページを改ざんし、結果的にアクセスしてきた利用者のPCにダウンローダ、キーロガーおよびトロイの木馬などのマルウェアを強制的にダウンロードさせる。そして、感染したPCから直接クライアント情報を抜き出したり、次の攻撃時に攻撃拠点の一部にするなどの形で悪用するのだ。

#CmsMembersControl .CmsMembersControlIn {width:100%;background:url(https://image.itmedia.co.jp/images/spacer.gif) #DDD;opacity:0.05;filter:progid:DXImageTransform.Microsoft.Alpha(Enabled=1,Style=0,Opacity=5);z-index:1;}