2006年11月16日(木) 00時00分

サイトに登録の個人情報が標的——ＳＱＬインジェクションが急増（読売新聞）

　サイトの欠陥を突き、登録情報を盗難・改ざんする「ＳＱＬインジェクション」と呼ばれるネット侵入が急増している。中国からの攻撃が大半で、侵入用のソフトが出回っていることが被害拡大に拍車をかける。サイト運営者は、セキュリティー態勢の一層の強化を求められている。

難しい完全な防御

　「学費を稼ぐため１人でやった」。価格比較サイト「価格・ｃｏｍ」など14社から約52万件の個人情報を盗んだとして昨年７月に逮捕された中国人留学生（27）は、犯行理由をこう語った。このとき使われた手口がＳＱＬインジェクションである。

　ＳＱＬ（Structured Query Language）とは、データベースを操作するためのコンピューター言語。多くのサイトでは、ウェブサーバーからデータベースサーバーに情報を取りにいくシステムを採用している。攻撃者は、データベースサーバーへの指示に外部操作が可能になるＳＱＬコマンド（命令文）を潜り込ませることで、データベースの情報を直接削除したり、盗んだりする。

　セキュリティー監視サービス会社大手のラック（東京都）によるとＳＱＬインジェクションによる攻撃が確認されたのは２０００年ごろ。それが、昨年後半から攻撃件数が急に増え始め、１つの攻撃元から１００〜１０００件、多いときには数千件、数万件もの攻撃がサイトに向けられるようになった。今年の件数は、前年の約３倍という急増ぶりだ。

　ＳＱＬインジェクションの被害に遭うと、サイトからは膨大な顧客情報が一挙に漏れてしまう。ちなみに、この犯人が手に入れたのは住所、氏名、メールアドレス、クレジットカード番号など。ネットに広告を出し、メールアドレスは１件当たり１円未満〜２円でスパム（迷惑）メール送信業者に売り渡していた。

　サイト側はどんな対策を取ればいいのか？

　「完全に防御するのは、非常に難しいです」と語るのは、同社ＳＮＳ事業本部の川口洋さん。

　「サイトのシステムが次第に巨大になり、それにかかわっている技術者も多くなるとプログラムの欠陥をチェックするのは大変な作業です」

　セキュリティー態勢が脆弱なサイトは、グーグルなどの検索エンジンにキーワードを入れるだけで簡単に探し出せ、標的にされるという。中小サイトだから狙われないと思い込むのは、非常に危険なのだ。

攻撃用ソフト出回る

　驚くべきことに、同社が攻撃元のＩＰアドレスを分析したところ、８割を中国が占めていた。04年の後半あたりから、中国語に翻訳された攻撃用ソフト「ＳＱＬ注入工具」などが出回り始めており、ほとんどがこのソフトを使っての攻撃と見られる。掲示板によっては詳しい使い方が掲載され、攻撃先の日本企業が指示してあるという。

　「被害の多さに悲鳴を上げ、中国から自社サイトへアクセスできないよう検討している企業もあります」（川口さん）

　ＳＱＬインジェクションによる攻撃は、セキュリティーに関するさまざまな問題を浮き彫りにした。

　標的になるのは企業サイトだが、最終的な被害者は情報が流出した個人の利用者だ。いくらスパイウエアや不正アクセスを警戒したとしても、投網をかけるようにサイトから登録情報の一切合切を盗まれたら、もはや防ぎようがない。クレジットカードを不正に使われてから初めて、カードの情報を盗まれたことに気づくケースもある。

　また仮想商店街でサイト主宰者がシステムを管理し、加盟店側がデータを管理している場合、情報が漏れた際の責任の所在は明らかでない。

　サイト側が監視・防御体制を整えようにも、中小サイトでは高額の負担がネックになっている。

　ＳＱＬインジェクションによる攻撃は今後も続くと見られ、サイト側はセキュリティー態勢の見直し、強化を求められている。（林　宗治・編集部／2006年10月24日発売「YOMIURI PC」１２月号から）

http://www.yomiuri.co.jp/net/frompc/20061115nt03.htm