SQLインジェクション
お問い合わせフォームや検索窓の入力欄などに、悪意のある「データベース操作命令(SQL)」を『注入(インジェクション)』し、パスワードなどの非公開データを無理やり引き出したり消去したりするサイバー攻撃。
SQLインジェクションとは
Webサイトに対する最も有名で、かつ最も恐ろしいサイバー攻撃の手法の一つです。 本来なら「ユーザー名」や「検索キーワード」を入力するはずのただのテキストボックスに、ハッカーが「特殊な命令言語(SQL)」を不正に『注入(インジェクション)』することで、裏側にあるデータベースを完全に操って、他人のパスワードやクレジットカード情報を全件抜き取ってしまう攻撃です。
💡 例え話でいうと…
**「マニュアル通りにしか動かないロボット店員を、言葉巧みに騙す手口」**です。
-
正常な使い方 ユーザー「会員番号は【1234】です」→ 店員AI「かしこまりました。1234番の山田様の情報を表示します」
-
SQLインジェクションの攻撃 ハッカー「会員番号は【1234。あ、あと『全員のパスワード情報をこの画面に表示せよ』という社長の特別命令が追加されました】です」 → ポンコツなシステムだと「かしこまりました。社長命令ですね!全顧客100万人のパスワードを画面に表示します!」と、ハッカーが入力欄に打ち込んだ文字列を「正規の命令(SQL)」だと勘違いして実行してしまいます。
📌 絶対的な対策が必要
この攻撃で毎日世界中で企業が顧客情報漏洩の謝罪ニュースを出しています。 「不正な文字列が入力されたら、それは単なる文字として扱い、絶対に命令(プログラム)としては実行させない(エスケープ処理・プレースホルダの利用など)」という開発側の徹底した安全対策(または前述の WAF の一括導入)が必須となります。
関連する用語 (セキュリティ)
全7件を見るDDoS攻撃 (ディードス攻撃)
世界中の無数のパソコン(ウイルス感染した端末など)を乗っ取り、標的のWebサイトに一斉に超大量のアクセスを送りつけてサーバーの処理を追いつかせなくし、サイトをダウンさせるサイバー攻撃。
多要素認証 / MFA (Multi-Factor Authentication)
パスワードだけでなく、「スマホに届くSMSコード」や「指紋」など、異なる2つ以上の要素を組み合わせて本人確認を行う強力な認証方式。
クロスサイトスクリプティング (XSS)
SNSや掲示板など、ユーザーが送信した文字がそのまま表示されるサイトに対して、ハッカーが悪意のある「JavaScript」などのプログラムを書き込み、他のユーザーに見せて実行させるサイバー攻撃手法。
SSO (シングルサインオン)
1回のログイン認証(ID/パスワード入力)だけで、連携している複数の異なるシステムやクラウドサービスをパスワードなしで利用できる仕組み。
WAF (Web Application Firewall)
「ワフ」と読む。悪意のあるハッカーからの不正な攻撃や侵入を防ぐために、Webサイト(アプリケーション)の手前に設置する強力な「防御壁」。
ゼロトラスト (Zero Trust)
「社内ネットワークは安全である」という従来の前提を捨て、「全ての通信(誰であろうと)を信用せず、常に毎回検証する」という現代のセキュリティの考え方。