知らないと危険！『SQLインジェクション』の攻撃手法と防御策

SQLインジェクションは、Webアプリケーションの脆弱性を悪用し、不正なSQL文を実行させる攻撃手法です。

この攻撃を受けると、データベース内の情報漏洩、改ざん、削除といった深刻な被害が発生する可能性があります。

本記事では、SQLインジェクションの仕組み、実際の攻撃手法、被害事例、そして効果的な防御策について詳しく解説します。

SQLインジェクションとは？

SQLインジェクションは、データベースを操作するSQL文に対して、悪意のあるデータを挿入することで、システムを乗っ取ったり、機密情報を盗み出したりする攻撃手法です。

SQLインジェクションの基本的な仕組み

SQLインジェクションは、主に以下のような場合に発生します。

• ユーザ入力を適切にエスケープせず、直接SQL文に組み込んでいる
• SQL文の構造を動的に組み立てている
• 入力データの検証が甘い

たとえば、以下のようなログイン処理を考えます。

SELECT * FROM users WHERE username = '入力値' AND password = '入力値';

攻撃者が以下のような入力を行うとどうなるでしょうか？

' OR '1'='1

この場合、SQL文は以下のように改変されます。

SELECT * FROM users WHERE username = '' OR '1'='1' AND password = '';

'1'='1' は常に真となるため、認証なしでログインが成功してしまいます。

SQLインジェクションの種類

SQLインジェクションには、いくつかの種類があります。

1. クラシックSQLインジェクション

基本的な手法で、アプリケーションの入力フィールドに直接SQLコードを挿入するものです。

2. ブラインドSQLインジェクション

エラーメッセージを表示しないアプリケーションに対し、条件分岐を利用してデータベースの情報を推測する攻撃です。

3. エラーベースSQLインジェクション

エラーメッセージを利用し、データベース構造や情報を取得する手法です。

SQLインジェクションの被害事例

SQLインジェクションは、実際に多くの企業や組織で深刻な被害をもたらしています。

事例1: 企業の顧客データが流出

ある大手企業のWebアプリケーションがSQLインジェクションの攻撃を受け、数百万件の顧客情報が漏洩しました。攻撃者は脆弱なログイン画面を利用し、データベース内のすべての情報を抽出しました。

事例2: Webサイトの改ざん

ECサイトがSQLインジェクションの攻撃を受け、データベース内の商品情報が書き換えられました。結果として、販売価格が改ざんされ、大きな損失が発生しました。

事例3: システム全体の乗っ取り

SQLインジェクションを利用してデータベース管理者の権限を奪取し、システム全体が乗っ取られたケースもあります。

攻撃者はデータベースだけでなく、サーバ全体へのアクセス権限を得ることができました。

SQLインジェクションの防御策

SQLインジェクションを防ぐためには、適切な対策を講じることが重要です。

1. プリペアードステートメントの使用（推奨）

プリペアードステートメントを使用すると、SQL文とデータを明確に分離し、不正なSQL文を防ぐことができます。

import mysql.connector

conn = mysql.connector.connect(user='user', password='pass', host='localhost', database='test')
cursor = conn.cursor()

query = "SELECT * FROM users WHERE username = %s AND password = %s"
cursor.execute(query, (username, password))

この方法では、ユーザの入力値が自動的にエスケープされるため、安全です。

2. 入力データのバリデーション

SQLインジェクションを防ぐためには、以下のような入力データのチェックを行いましょう。

• 数値のみを受け付ける場合、文字列を拒否
• 特殊文字（', ", ;, -- など）を禁止
• ホワイトリスト方式で許可するデータを制限

3. 適切なエラーハンドリング

攻撃者にエラーメッセージを提供しないように、データベースエラーの詳細を隠すことが重要です。

ini_set('display_errors', 0);

エラーが発生した場合は、ユーザにシンプルなメッセージを返し、詳細情報はログに記録するようにします。

4. データベースのアクセス制限

データベースのユーザ権限を最小限にすることで、万が一攻撃を受けた場合でも被害を抑えることができます。

• 読み取り専用ユーザを作成する
• 必要最低限の権限しか持たないアカウントを利用する

5. Webアプリケーションファイアウォール（WAF）の導入

WAFを利用すると、SQLインジェクションを含む攻撃をリアルタイムで検知し、ブロックできます。
特に、クラウド型のWAF（AWS WAF、Cloudflare WAFなど）は、簡単に導入できます。

6. セキュリティの定期的なレビュー

• 定期的な脆弱性診断
• ペネトレーションテスト（侵入テスト）の実施
• 最新のセキュリティパッチの適用

を行うことで、SQLインジェクションのリスクを最小限に抑えることができます。

まとめ

SQLインジェクションは、Webアプリケーションの重大な脆弱性のひとつであり、適切な対策を講じなければ甚大な被害につながります。

攻撃手法と対策を理解し、以下の防御策を実施しましょう。

• プリペアードステートメントを使用する（最も効果的な対策）
• 入力データのバリデーションを徹底する
• エラーメッセージを適切に管理する
• データベースのアクセス権限を最小限にする
• WAFを導入し、不正アクセスをブロックする
• 定期的なセキュリティチェックを行う

これらの対策を実施することで、SQLインジェクションのリスクを大幅に減らし、安全なWebアプリケーションを構築することができます。