インターネット人口は増加し、常時接続環境の整備が進み、利用者にとって様々 なサービスがオンラインで利用できる便利な状況になる一方で、悪意ある第３者 を招き入れる可能性を高める傾向にある。前回は利用者に対する直接的な攻撃 例について述べたが、Webサイトの脆弱性を攻撃される事により、提供者自身が 被害を受けるだけでなく、数万件単位での顧客情報が流出しうるあるいはWebサ イトにアクセスした利用者がウイルスに感染してしまうなど、間接的に利用者が被 害を受ける事件も発生している。

IPAが取りまとめた情報セキュリティ白書報告によると、Webアプリケーションに関 する脆弱性の届出の約70%をSQLインジェクションと、クロスサイト・スクリプティング （以下ＸＳＳ）(※1）で占めるという報告があるが、今回はシステム提供者側に対す る攻撃の一例としてSQLインジェクションについて述べその対策を紹介する。

SQLインジェクション Webシステムを構成する要素の1つにデータベースがある。データベースを操作す るために一般的に使われるのがSQＬで、このSQL文を偽造してデータベースの操 作をしてしまおう、という攻撃がこの攻撃である。この攻撃により、許可していない のにシステムにアクセスされる、データを盗まれる、あるいはデータベースを改竄 されるといった被害を受けるが、攻撃されてもサービス提供者は気づかない場合も 多い。 攻撃方法の具体例： Webサイトでよく利用される、ユーザID（以下ID）とパスワード（以下PW）による認証 では、入力されたユーザIDとPWによりSQL文を作成し、データベースの情報と一致 すると認証するという仕組みがよく使われる。

このとき本来ならIDに応じたPWを入 力するところだが、攻撃者はここに、例えばシングルクオート「’」に続けて、「必ず 成立する条件文」など、システム提供者が意図しない文字列を入力してくる。ここで 問合わせ命令文がそのまま、データベースへの命令として実行される場合には、パ スワードが異なるにもかかわらずどんなIDに対しても認証されてしまうという現象が 起こってしまう。このような認証回避の攻撃以外にも、入力する文字列次第ではデー タベース上の全ての情報を参照するといったような不正なデータベース操作が実行 できてしまう可能性もある。その場合データベース上の情報が利用者情報である場 合には、脆弱性をもつWebアプリケーションにより利用者も被害を受けてしまうという 事となる。

対策方法例：
・入力値を制限する 上記の例の場合には、項目の入力値として半角英数字のみを許可するという制限 を設ける事でも対策となりうる。
・SQL文を構成する全ての変数に対しエスケープ処理を行う 任意の文字を許可する入力文字列を扱う必要がある場合には、SQL文で使える特 殊文字（上記では「’」）を、SQL文として機能しないように置き換える（エスケープ） 処理をする事が効果的である。

上記の対策例はIPA（Information-technology Promotion Agency, Japan）が「安 全なWebサイトの作り方」として紹介しているものであるが、その他にも、ＸＳＳの対 策方法などを含め、さらに詳細な情報を知るために是非参考にしてもらいたい。こ のようなセキュリティ対策を徹底することがシステム提供者側の脅威への有効な 対策となる。このように、巧妙化する攻撃に対しても、既存のセキュリティ対策を徹 底する事で有効な対策となる場合が多いが、情報セキュリティ白書のデータを紐解 くと２００４年から２００５年末にかけてWebアプリケーションの脆弱性関連情報の届 出件数は約３倍に増加しているという報告もあり、現状ではサービス提供側で十分 な対策がとられているとはいいがたい状況である。

次回は情報セキュリティにおいて取るべき対策事項を述べる。

※1　クロスサイト・スクリプティング：アンケートや掲示板などサイトで、悪意を持った スクリプト(命令)を埋め込まれてしまい、悪意のあるコードをサイト利用者のブラウザ に送られ、偽ページの表示などが可能になってしまう脆弱性。脆弱性をもつWebアプ リケーションにより利用者も被害を受けてしまうという事を特徴とする