SQLインジェクションとは｜仕組み・対策

概要

SQLインジェクション（SQL Injection）とは、Webアプリの入力欄などに不正なSQL文（データベースへの命令）を注入（インジェクション）し、データベースを不正に操作する攻撃です。Webアプリの脆弱性を突く攻撃の代表格で、大規模な情報漏えいの原因となってきました。

利用者が入力したデータをそのままSQL文に組み込んでいると、攻撃者が入力欄に細工した文字列を入れることで、本来読めないデータの抜き取り・改ざん・削除・認証回避が可能になってしまいます。

詳細（仕組み）

例えばログイン認証で、入力値をそのまま使う次のようなSQLがあるとします。

SELECT * FROM users WHERE id='入力値' AND pw='入力値'

ここでパスワード欄に ' OR '1'='1 のような文字列を入れられると、条件が常に真となりパスワードなしでログインできてしまう、といった具合です。攻撃により次のような被害が起きます。

• 会員情報・クレジットカード情報などの大量窃取。
• データの改ざん・削除。
• 認証の回避（不正ログイン）。

対策

• プレースホルダ（バインド機構／パラメータ化クエリ）を使い、入力値をSQL文の構造から切り離す。これが最も確実な根本対策。
• 入力値のサニタイジング（エスケープ処理）・入力値検証を行う。
• WAF（Web Application Firewall）で不正なパターンの通信を検知・遮断する。
• データベースアカウントの権限を最小限にし、被害を抑える。
• エラーメッセージに内部情報を表示しない。

インシデント事例

ECサイトからのクレジットカード情報流出

SQLインジェクションの脆弱性を突かれ、ECサイトの会員情報やクレジットカード情報が大量に流出する事例が繰り返し発生しています。決済代行への切り替えやWAF導入などの再発防止策が求められました。

会員制サイトの個人情報漏えい

入力値をそのままSQLに組み込んでいたために、攻撃者がデータベースの中身を抜き取り、数百万件規模の個人情報が漏えいした事例もあります。プレースホルダ未使用が共通の原因でした。

試験での問われ方

• 「入力値に不正なSQLを混入させてデータベースを操作する攻撃はどれか」→ SQLインジェクション。
• 「SQLインジェクションの最も有効な対策はどれか」→ プレースホルダ（バインド機構）。
• XSS・CSRFなど他のWeb攻撃との違いを問う識別問題。