個人情報流出を引き起こす、SQLインジェクションの脅威とWebセキュリティ

こんにちは、穂苅と申します。

前回は、Web セキュリティにおける「認証」について見ていきました。ご興味のある方はぜひご覧ください。
今回は、重大なセキュリティリスクのSQL インジェクションについて見ていきます。

目次

SQLインジェクションの脅威とは?

SQL インジェクションについて、皆さんはどれくらい知っていますでしょうか。
SQL インジェクションは、Web アプリケーションの脆弱性を利用することで悪意のあるSQL 文をアプリケーション側に不正に入れて実行させてしまう攻撃手法のことです。これによって、データベースに保存されたデータが不正に盗み見られたり改ざんされたりという被害となります。

そもそもWeb アプリケーションは、Web 上で使える様々な機能を持った仕組みのことですがデータベースと連携していることも多くあります。マイページなどを想像するとわかりやすいと思います。
その場合、通常は利用者からの入力情報をもとにSQL 文を組み立ててデータベース側とやり取りをします。しかし、そのSQL 文の組み立てが不正に操作されると、攻撃者がデータベースを操作できてしまうということになります。
企業では多くのユーザー情報を持っていることもありますので、情報漏洩や金銭的な被害が発生してしまうと企業の信用問題と賠償問題となります。

EG セキュアソリューションズの「SiteGuard セキュリティレポート(2025.1Q)」(※1)を見てみると、2025 年第1 四半期に検出された攻撃でもっとも多かったのが「SQL インジェクション」で37.5%ということでした。このセキュリティレポートは、イー・ガーディアンのクラウド型 WAF である「SiteGuard Cloud Edition」が検出した攻撃の分析結果をまとめたものとなりますので、実際のリアルな数字です。

ちなみに、2025 年第1 四半期では、教育機関を狙った攻撃が目立ったということです。
(※1)https://www.eg-secure.co.jp/siteguard/resources/siteguard-security-report-2025-1q
SQL インジェクションの対策については、IPA(独立行政法人情報処理推進機構)の「安全なウェブサイトの作り方」(※2)によると以下のような項目となります。興味がある方は細かく調べてみてください。

・SQL 文の組み立ては全てプレースホルダで実装
・SQL 文の組み立てを文字列連結により行う場合は、エスケープ処理等を行うデータベースエンジンのAPI を用いて、SQL 文のリテラルを正しく構成
・ウェブアプリケーションに渡されるパラメータにSQL 文を直接指定しない
・エラーメッセージをそのままブラウザに表示しない

(※2)https://www.ipa.go.jp/security/vuln/websecurity/sql.html

実際に発生したSQLインジェクションによる個人情報流出

ここからは、実際に発生したSQL インジェクションの被害について新しい事例を見ていきます。

2025 年6 月30 日に、学悠出版株式会社は運営するWeb サイト「愛知全県模試」のサーバへの不正アクセスを発表しました。(※3)(※3)https://www.zenkenmoshi.jp/

これによると、サーバに対して外部からSQL インジェクションによる不正アクセスが行われたことで、「愛知全県模試」のサーバに保管されていた情報の一部が流出してしまったというものです。具体的に流出した可能性があるとされている情報は以下のとおりです。

・塾に関する個人情報
・模試の受験者に関する個人情報(氏名、性別、住所、電話番号など含む) これらの情報は暗号化※されている

発表では、情報が不正利用されたなどの報告は確認できていないということですが、いつ悪用されるかわからない状態です。学悠出版は、再発防止のためにもセキュリティ対策を強化していくということです。
このように、実際に発生してしまうととても怖い攻撃です。

Webセキュリティ知識を詳しく知りたい場合は、徳丸本と徳丸試験がおすすめ

SQL インジェクションについては基本的な知識をつけて、やるべき対策をしっかりできていることが大事です。アプリケーション開発者は正しい知識を持って実装を行わないと、影響の大きな事故になってしまう可能性もあります。
こういったWeb セキュリティ関連の知識について、詳しくなりたい場合は、徳丸本を学ぶことをおすすめします。

徳丸本は、Web セキュリティに関する基本知識が網羅されています。セキュリティは正確に体系立てて理解をしていかないと、システムや会社にとって致命的な問題に繋がります。これらの知識を身に着けたエンジニアとして活躍されていく方にはおすすめです。

そして、学んだあとは理解を確認するために徳丸試験でチェックしてみると理解度が可視化されるため、
ぜひチャレンジしてみてください。

【徳丸本】
体系的に学ぶ 安全な Web アプリケーションの作り方 第 2 版 脆弱性が生まれる原理と対策の実践
徳丸浩の Web セキュリティ教室

【徳丸試験】
ウェブ・セキュリティ基礎試験 ( 徳丸基礎試験)
ウェブ・セキュリティ実務知識試験 ( 徳丸実務試験)

この記事が気に入ったら
いいね または フォローしてね!

よかったらシェアしてね!
  • URLをコピーしました!
  • URLをコピーしました!
目次