SQL インジェクションとは それは危険ですか？

サイバー犯罪者が好むものを 1 つ挙げるとすれば、それはデータです。盗まれたデータは、違法な市場で非常に価値があり、プライベート データベースへのアクセスは、悪意のあるアクターがベンチャーから利益を上げるための優れた方法になる可能性があります。プライベート データにアクセスする 1 つの方法は、SQL インジェクションを使用することです。しかし、SQL インジェクションとは正確にはどのようなもので、どのように機能し、そのような攻撃を防ぐことができるのでしょうか?

SQL インジェクションとは

ソフトウェア プログラムは、コードに依存して機能します。コードは、マシンが操作を実行するために使用する言語でもあり、さまざまな形式 (Python、JavaScript、C++ など) で提供されます。多くの場合、サイバー犯罪者はコードを介して被害者を攻撃しますが、SQL インジェクション (または SQLis) も例外ではありません。これらは、悪意のあるアクターが有害なコードを SQL ステートメントに「挿入」することを可能にします。

まず、SQL の意味を確認しましょう。

SQL は構造化照会言語の略です。これは、データベースを扱うときに特に使用される別の種類のプログラミング言語です。1970 年代に IBM によって開発された SQL は、データベース情報を操作、保存、および取得できます。世界中の多くのデータベース通信システムで SQL が使用されているため、攻撃者が SQL を悪用してデータベースを標的にする方法を考案したことは驚くことではありません。

SQL ステートメントは、データベース通信の重要な部分を形成します。SQL ステートメントは、さまざまな形式で提供されるコマンドです。データを変更するもの、データを取得または削除するもの、データベース自体の構造を変更できるものがあります。SQL インジェクションが発生すると、悪意のあるコードが SQL ステートメントに挿入されます。

もちろん、SQL インジェクションを可能にするには、Web サイトまたはアプリケーションで SQL プログラミング言語を使用する必要があります。しかし、この攻撃ベクトルはどのように機能するのでしょうか?

アプリケーションで使用される通常のコード行があるとします。サイバー犯罪者が悪意のある SQL インジェクションを挿入すると、アプリケーション自体がデータベースに送信するクエリを妨害するコード行が追加されます。これを行うことで、脅威アクターがアクセスできないデータを表示できるようにする方法で、データベースが悪用される可能性があります。

ここから、サイバー犯罪者はデータを盗んで直接悪用したり、ダーク Web などで販売したりする可能性があります。また、対象のデータベースのデータを変更、追加、または削除することもできます。SQL インジェクション攻撃の程度によっては、多くの損害が発生する可能性があります。支払いの詳細、社会保障番号、またはその他の種類の個人データにアクセスすると、多くの人が悪用される危険にさらされる可能性があります。

一方、攻撃者がデータベースを大幅に変更した場合、大量のデータが永久に失われる可能性があります。全体として、SQL インジェクションはたった 1 回の攻撃でデータベース全体を破壊する可能性があります。それらは 1998 年から存在していますが、現在でも関連性があり危険です。

Open Web Application Security Project (OWASP)によって発見されたように、2021 年にそのような攻撃の存在についてアプリケーションをテストしたときに、274,000 の SQL インジェクションのインスタンスが特定されました。

SQL インジェクションの種類

SQL インジェクションにはいくつかの種類があり、主な 3 つはブラインド インジェクション、インバンド インジェクション、アウトオブバンド インジェクションです。

ブラインド (または推論) SQL インジェクションは、アプリケーションまたはサイトがインジェクションによって攻撃されたときに発生しますが、提供される HTTP (Hypertext Transfer Protocol) 応答には SQL クエリの結果が含まれていません。つまり、攻撃されたデータベースのデータがサイバー犯罪者に提供されることはありません。それで、これのポイントは何ですか？

ブラインド SQL インジェクションを使用して、攻撃者はターゲット サーバーにデータを送信し、HTTP 応答自体の性質を通じてデータベースに関する特定の事柄を識別することができます。これに加えて、HTTP 応答に関連する要因は、攻撃者が別のより効果的な SQL インジェクションを作成してデータベースにアクセスするのに役立ちます。

ブラインド SQL インジェクションには、時間ベースとブール型として知られる 2 つの主要なタイプがあります。これら 2 つの亜種は、性質が非常に似ています。ブール型および時間ベースの SQL インジェクションはどちらも、yes または no の回答の質問の配列を送信しますが、後者の場合、クエリに応答する前にデータベースがしばらく待機する必要があります。

次に、インバンド SQL インジェクションがあります。インバンド SQL インジェクションにより、オペレーターは同じチャネルを使用して攻撃を実行し、目的の結果を得ることができます。インバンド SQL インジェクションは、必要なチャネルが 1 つだけであるために実行が最も簡単なため、最も一般的に使用されます。

最後に、帯域外 SQL インジェクションがあります。これは基本的に、インバンド SQL インジェクションの代替バージョンであり、攻撃者は 1 つのチャネルを使用して全体として攻撃を実行することはできません。あるいは、攻撃対象のサーバーが結果を提供するのに十分な速度でない場合は、アウトオブバンド SQL インジェクションに頼る必要があるかもしれません。

これらの要因により、プロセスが少し難しくなります。つまり、成功するためには、特定の機能がターゲット データベースでアクティブになることに依存する必要があります。たとえば、攻撃対象のプラットフォームには、入力のサニタイズが欠けている必要があります。このため、インバンド SQL インジェクションは、アウトオブバンド SQL インジェクションよりもはるかに一般的です。しかし、それらはまだ起こります。

SQL インジェクションは回避できますか?

SQL インジェクションは、通常の個人よりも企業や組織にとって懸念事項です。しかし、これらの潜在的なターゲットがそのような攻撃を受ける可能性を下げるためにできることがあります.

入力のサニタイズは、SQL インジェクションを回避するための重要な一般的な方法です。これは、危険な文字の入力をスキャンしてクリーンアップするフィルタリング プロセスです。サニタイズされる前に SQL コードが処理されると、当然、SQL インジェクションの可能性が高くなります。

さらに、パラメーター化されたクエリは、SQL インジェクションを回避するのに役立ちます。これらは、実行のために少なくとも 1 つのパラメーターを必要とするクエリです。パラメータを適用すると、サイバー犯罪者が SQL インジェクション攻撃を成功させることが難しくなります。

しかし、SQL インジェクションを防ぐ確実な方法はありません。多くのサイバー攻撃がそうであるように、デバイスやシステムを完全に気密に保つことはほぼ不可能です。SQL インジェクションに関しては、すべての入力をサニタイズし、パラメーター化されたクエリを確立することが最善の方法です。

SQL インジェクションは時代遅れですが、依然として脅威です

SQL インジェクションは 20 年以上前から存在していますが、依然として多くの Web サイトやアプリケーションにリスクをもたらしています。したがって、この形式の攻撃を念頭に置き、必要な手順を実行してそれを防止することをお勧めします。これは、将来のある時点でデータベースに脅威を与える可能性があるためです.