先生と生徒の会話形式で理解しよう

生徒

「先生、SQLインジェクションってよく聞くんですが、どんな攻撃なんですか？」

先生

「SQLインジェクション（エスキューエルインジェクション）は、データベースを操作するSQL文に不正な命令を注入して、情報を盗み出したり改ざんしたりする攻撃です。」

生徒

「じゃあ、普通に入力フォームを使うだけで攻撃されちゃうんですか？」

先生

「そうなんです。例えばログイン画面で入力した文字がそのままSQLに組み込まれると、不正な命令が実行されてしまいます。」

基本情報技術者試験をこれから学習する人や、独学で確実に合格レベルまで到達したい人におすすめの定番対策書です。

いちばんやさしい基本情報技術者を見る

※ Amazonアソシエイト広告リンク

1. SQLインジェクションとは？

SQLインジェクション（エスキューエルインジェクション）は、データベースに対して不正なSQL文を実行させる攻撃手法です。攻撃者は入力フォームやURLに細工をして、システムが想定していない命令を実行させ、データベースに保存されたユーザー情報やパスワードを盗み出したり、改ざんしたりします。

2. SQLとは何か

SQLは、読み方はSQL（エスキューエル）といい、データベースを操作するための言語です。データの検索、追加、更新、削除といった操作を行うことができます。たとえば、ログイン処理では「ユーザー名とパスワードが正しいかを調べるSQL文」が使われます。このSQLの仕組みを悪用するのがSQLインジェクションです。

3. SQLインジェクションの仕組み

具体的には、ログインフォームに「' OR '1'='1」などの文字列を入力すると、SQL文が「常に真になる条件式」に変わり、認証が突破されてしまうことがあります。これにより本来アクセスできない情報に侵入できてしまうのです。攻撃者はこれを利用して、顧客情報やクレジットカード番号などの重要なデータを抜き取る可能性があります。

4. SQLインジェクションによる被害

SQLインジェクションによって発生する被害には次のようなものがあります。

会員情報やパスワードの漏えい
商品情報や金額データの改ざん
不正ログインによるアカウント乗っ取り
データベースの破壊や消去

過去には大手企業の顧客情報が数百万件流出する事件も発生しており、SQLインジェクションは非常に深刻な脅威として知られています。

5. SQLインジェクションの例

例えば、次のようなSQL文を考えてみましょう。

SELECT * FROM users WHERE username = '入力値' AND password = '入力値';

ここで、攻撃者がユーザー名欄に「' OR '1'='1」を入力すると、SQL文は次のように変化します。

SELECT * FROM users WHERE username = '' OR '1'='1' AND password = '';

この場合「'1'='1'」が常に真となるため、認証を突破できてしまいます。

6. SQLインジェクションを防ぐ方法

SQLインジェクションは適切な対策を行うことで防ぐことが可能です。主な対策は以下のとおりです。

プレースホルダを使う：SQL文に直接文字列を埋め込まず、変数を安全に渡す仕組みを利用する。
入力値のチェック：特殊文字や危険な文字列を入力できないように制御する。
エラーメッセージを表示しない：エラーメッセージにSQL構文を含めないことで攻撃者にヒントを与えない。
最新のセキュリティパッチを適用する：システムやデータベースの脆弱性を放置しない。

特にプレースホルダの利用は、最も効果的な対策として広く使われています。

7. 雑学：SQLインジェクションの歴史

SQLインジェクションは1990年代から知られている古典的な攻撃手法です。名前の由来は「SQL文に命令をインジェクト（注入）する」ことからきています。長い歴史を持ちながらも、いまだに多くのシステムで発生しているのは、入力チェック不足や古いシステムをそのまま使い続けていることが原因です。現在でも世界中で実際の被害が報告されています。