悪のニュース記事

悪のニュース記事では、消費者問題、宗教問題、ネット事件に関する記事を収集しています。関連するニュースを見つけた方は、登録してください。

また、記事に対するコメントや追加情報を投稿することが出来ます。

記事登録
2006年11月16日(木) 00時00分

サイトに登録の個人情報が標的——SQLインジェクションが急増読売新聞

 サイトの欠陥を突き、登録情報を盗難・改ざんする「SQLインジェクション」と呼ばれるネット侵入が急増している。中国からの攻撃が大半で、侵入用のソフトが出回っていることが被害拡大に拍車をかける。サイト運営者は、セキュリティー態勢の一層の強化を求められている。

難しい完全な防御

 「学費を稼ぐため1人でやった」。価格比較サイト「価格・com」など14社から約52万件の個人情報を盗んだとして昨年7月に逮捕された中国人留学生(27)は、犯行理由をこう語った。このとき使われた手口がSQLインジェクションである。

 SQL(Structured Query Language)とは、データベースを操作するためのコンピューター言語。多くのサイトでは、ウェブサーバーからデータベースサーバーに情報を取りにいくシステムを採用している。攻撃者は、データベースサーバーへの指示に外部操作が可能になるSQLコマンド(命令文)を潜り込ませることで、データベースの情報を直接削除したり、盗んだりする。

 セキュリティー監視サービス会社大手のラック(東京都)によるとSQLインジェクションによる攻撃が確認されたのは2000年ごろ。それが、昨年後半から攻撃件数が急に増え始め、1つの攻撃元から100〜1000件、多いときには数千件、数万件もの攻撃がサイトに向けられるようになった。今年の件数は、前年の約3倍という急増ぶりだ。

 SQLインジェクションの被害に遭うと、サイトからは膨大な顧客情報が一挙に漏れてしまう。ちなみに、この犯人が手に入れたのは住所、氏名、メールアドレス、クレジットカード番号など。ネットに広告を出し、メールアドレスは1件当たり1円未満〜2円でスパム(迷惑)メール送信業者に売り渡していた。

 サイト側はどんな対策を取ればいいのか?

 「完全に防御するのは、非常に難しいです」と語るのは、同社SNS事業本部の川口洋さん。

 「サイトのシステムが次第に巨大になり、それにかかわっている技術者も多くなるとプログラムの欠陥をチェックするのは大変な作業です」

 セキュリティー態勢が脆弱なサイトは、グーグルなどの検索エンジンにキーワードを入れるだけで簡単に探し出せ、標的にされるという。中小サイトだから狙われないと思い込むのは、非常に危険なのだ。

攻撃用ソフト出回る

 驚くべきことに、同社が攻撃元のIPアドレスを分析したところ、8割を中国が占めていた。04年の後半あたりから、中国語に翻訳された攻撃用ソフト「SQL注入工具」などが出回り始めており、ほとんどがこのソフトを使っての攻撃と見られる。掲示板によっては詳しい使い方が掲載され、攻撃先の日本企業が指示してあるという。

 「被害の多さに悲鳴を上げ、中国から自社サイトへアクセスできないよう検討している企業もあります」(川口さん)

 SQLインジェクションによる攻撃は、セキュリティーに関するさまざまな問題を浮き彫りにした。

 標的になるのは企業サイトだが、最終的な被害者は情報が流出した個人の利用者だ。いくらスパイウエアや不正アクセスを警戒したとしても、投網をかけるようにサイトから登録情報の一切合切を盗まれたら、もはや防ぎようがない。クレジットカードを不正に使われてから初めて、カードの情報を盗まれたことに気づくケースもある。

 また仮想商店街でサイト主宰者がシステムを管理し、加盟店側がデータを管理している場合、情報が漏れた際の責任の所在は明らかでない。

 サイト側が監視・防御体制を整えようにも、中小サイトでは高額の負担がネックになっている。

 SQLインジェクションによる攻撃は今後も続くと見られ、サイト側はセキュリティー態勢の見直し、強化を求められている。(林 宗治・編集部/2006年10月24日発売「YOMIURI PC」12月号から)

http://www.yomiuri.co.jp/net/frompc/20061115nt03.htm