SQLインジェクション攻撃の増加(2021年)
情報処理推進機構が年初に「情報セキュリティ10大脅威 2021」を発表されたのはご存じでしょうか。(8月23日最終更新)
「情報セキュリティ10大脅威 2021」(出典:情報処理推進機構)
2021年度現在の「情報セキュリティ10大脅威 2021」では、インターネット上のサービスへの不正ログインの脅威が8位にランクインしていました。
昨年度の順位が16位であることを考えると、今年一年で不正ログインの脅威がぐっと増したことが分かると思います。
コロナ禍である現在、ネットを利用する機会が今まで以上に増え、個人情報をネットに登録することが増えたことも要因の一つかもしれません。
そんな中で再度注目されているのが「SQLインジェクション攻撃」による不正アクセスです。
2021年のSQLインジェクション攻撃状況
SQLインジェクションとは
SQL インジェクション攻撃とは、サイトの作成者の意図しないSQL文を実行させることによって不正にデータベースを操作する攻撃です。
具体的には、悪意のあるユーザーがデータベースに入り込み、普通なら閲覧できないような情報を抽出・改ざん、新たな情報を書き込むなどの危険性がある攻撃です。
「SQLインジェクション攻撃」は原始的な攻撃で、過去に流行った攻撃であると考えている人が多いかもしれませんが、2021年でもまだまだ大きな被害を及ぼしています。その一部インシデント事例を紹介していこうと思います。
インシデント事例1
2021年7月、某大手薬品メーカーはSQLインジェクション攻撃を受け、1652件のログイン情報・メールアドレス(個人)、166件(法人)のメールアドレスが流出しました。
流出したユーザーへ新しいパスワードをメールで周知し、ユーザーに変更させる ことを余儀なくされました。
および監視体制ならびにリスクマネジメント体制の強化を行うことで、再発防止対策を図っています。
上記はただメールアドレスが流出しただけかと思うかもしれませんが、それを利用した二次攻撃・三次攻撃の可能性は大いにあります。SQLインジェクション攻撃は、より規模の大きな攻撃の足掛かりになる一時的な攻撃にもなるということを忘れてはいけません。
インシデント事例2
2021年4月、某デリバリーサービス企業で58,813件のクレジットカード情報(名義・カード番号・有効期限)が流出したことが発表されました。 さらに新規でWAF(Web Application Firewall)を導入し再発防止対策を行いました。
またこのことによる顧客から信頼を少なからず失い、業績にも影響が出ていることが予想されます。
まとめ
これらの流出事故は2021年の一部の事例であり、今でもSQLインジェクション攻撃が身近なサイバー攻撃であることはお分かりいただけたのではないでしょうか。
顧客情報・機密情報を管理するECサイト・コーポレートサイトを運営している方は特に注意が必要です。流出した情報を二次利用される危険性や情報漏洩による企業イメージ・信頼の低下など 多方面で被害が出てしまいます。また、自社だけでなく自社に関わる企業・顧客にも大きな損害を与えてしまいます。
今一度、自社だけのためだけではなく、自社に関わる方々を守るためにもSQLインジェクション攻撃対策は十分に行われているか確認してみてはいかがでしょうか。
製品紹介
SQLインジェクション攻撃対策をするならTrustShelter/WAF!
TrustShelter/WAFはSQLインジェクション対策だけでなく、WAF・CDN・DDoS防御
など包括的なネットワークセキュリティ対策・攻撃の分析を行えます。
製品資料ダウンロード・質問・ご相談受付中