SQLインジェクションは、Webアプリケーションの脆弱性を悪用して、データベースを不正に操作する攻撃手法です。
データベースには、企業の機密情報や顧客の個人情報などが保存されているため、攻撃者はこの機密情報を狙って取得を試みようとします。企業がSQL インジェクションによって顧客の個人情報が漏えいした場合、顧客の信頼を失ってしまいます。
今回はSQLインジェクションの発生状況、影響、事例をまとめていきます。その後、次の記事でSQLインジェクションの種類、見つけ方や対策など具体についてまとめていきます。
どのぐらい発生しているのか
まずは事実から見ていきましょう。情報処理推進機構(IPA)が四半期ごとにとりまとめている「ソフトウェア等の脆弱性関連情報に関する届出状況」を見てみます。
資料内では、
本四半期は「SQL インジェクション(13 件)」が最も多く、次いで「クロスサイト・スクリプティング(4 件)」となっています。累計では、「クロスサイト・スクリプティング」だけで 57%を占めており、次いで「SQL インジェクション」と「DNS 情報の設定不備」が 11%となっています。と記載があります。ここからSQLインジェクションが上位に来ており、脆弱性が多く発生していることがわかります。つまり、企業としては他の脆弱性よりも優先して対応が求められます。
経営視点で考えるSQLインジェクションの影響
ここまででSQLインジェクションが多く発生していることがわかりました。では企業経営の視点で、これらがどのような影響につながるのでしょうか。ここでは経営視点でのSQLインジェクションがもたらす主な影響を3つ解説します。
1. 企業イメージの低下と顧客の信頼喪失
- 情報漏洩
- 顧客の個人情報や企業秘密といった機密情報が外部に漏洩し、大きなスキャンダルに発展する可能性があります。これにより、企業への信頼は根底から揺らぎ、顧客離れが加速するでしょう。
- ブランドイメージの低下
- 情報漏洩事件は、企業のセキュリティ対策が不十分であることを世間に知らしめ、ブランドイメージを大きく損なうことに繋がります。
- 新規顧客の獲得困難
- 企業の信頼が失われることで、新規顧客の獲得が難しくなり、売上減少に直結する可能性があります。
2. 法規制への抵触と高額な賠償責任
- 個人情報保護法違反
- 顧客の個人情報が漏洩した場合、個人情報保護法などに違反し、高額な罰金や賠償金を支払う可能性があります。
- 債務不履行責任
- 個人情報などの安全管理について契約(例:クラウドサービスの利用規約、情報取扱委託契約など)を締結していた場合、契約の相手方から損害賠償請求を受ける可能性があります。
- ビジネスの中断
- 法的な手続きや調査に多くの時間と費用を費やすことになり、ビジネスの中断を招く可能性があります。
3. ビジネス機会の損失
- 取引の中止
- 情報漏洩事件を起こした企業との取引を中止する企業が増え、ビジネス機会が失われる可能性があります。
- 競争力の低下
- 競合他社との競争において、情報セキュリティ対策が不十分な企業は不利になり、市場シェアを失う可能性があります。
- 新規事業展開の遅延
- 情報セキュリティ対策に多くのリソースを割く必要が生じ、新規事業への投資が遅れる可能性があります。
SQLインジェクションが企業にもたらす経営的な影響は、単にシステム障害にとどまらず、企業の存続に関わる問題であることを理解する必要があります。
システム視点でのSQLインジェクションの影響
SQLインジェクションが企業経営に大きな影響を及ぼすことがわかりました。次にシステム視点でのSQLインジェクションがもたらす主な影響を3つ解説します。
1. データの漏洩
- SQLインジェクションによって、攻撃者はデータベース内の情報に不正アクセスし、個人情報や企業の機密情報などを盗むことができます。
- 例: 顧客の名前、住所、クレジットカード情報などが漏洩する可能性がある。
2. データの改ざん
- 攻撃者はデータベースの内容を変更することが可能であり、例えばユーザーのアカウント権限を操作したり、不正な取引を作成することができます。
- 例: 管理者アカウントのパスワードが書き換えられる、商品の価格が不正に変更されるなど。
3. サービスの停止 (DoS)
- 悪意のあるSQLクエリを使ってデータベースサーバーに過負荷をかけ、サービスを停止させることが可能です。これにより、正規のユーザーがサービスを利用できなくなることがあります。
- 例: 複数の重いクエリを連続して実行し、データベースの応答速度を著しく低下させる。
このあたりのシステムとしての影響は一般的によく知られる内容だと思います。
SQLインジェクションによる被害事例
ここまで怖い話をしてきましたが、そんなこと言っても、あくまで可能性の話。実際にSQLインジェクションによる被害事例はあるのでしょうか。実例があるか調査した中で、3つお伝えしていきます。
リサーチ会社から約10万件の個人情報の漏洩
2022年6月、国内の業界で知られているリサーチ会社がSQLインジェクションによるサイバー攻撃を受けました。約10万件の個人情報の漏洩、そしてサイトの一時停止となりました。
経営上の影響として、顧客の信頼損失、ブランドイメージの低下、ビジネス機会の損失、特別損失の発生(障害対応、復旧、再発防止のコスト)が考えられます。
国内研究所から約5000件の情報漏洩
2023年4月、国内研究所がSQLインジェクションによるサイバー攻撃を受けました。約5000件のメールアドレスの漏洩、研究に利用しているサーバの停止となりました。
経営上の影響として、研究者からの信頼損失、ブランドイメージの低下、研究の中断、特別損失の発生(障害対応、復旧、再発防止のコスト)が考えられます。
ECサイトから約1万5000件のクレジットカード情報の漏洩
2011年3月、ECサイトが海外からSQLインジェクションによるサイバー攻撃を受けました。約1万5000件の個人情報(クレジットカード情報を含む)の漏洩、カード決済機能を停止となりました。
経営上の影響として、顧客の信頼損失、ブランドイメージの低下、ビジネス機会の損失、特別損失の発生(障害対応、復旧、再発防止のコスト)が考えられます。
まとめ
SQLインジェクションが多く発生していること、それが経営及びシステムに大きな影響を与える可能性があること、そして実際にインシデント事例があること、が分かったかと思います。
次回は、さらに深堀りして、SQLインジェクションの種類、見つけ方、対策について、まとめていきたいと思います。