IT用語集

インジェクション攻撃(Injection Attack)って何?

はじめに

インジェクションとは、注入, 注射を意味します。
つまり、インジェクション攻撃とは「何か悪いものを注入する攻撃」を意味するのです。
では、一体どんな悪いものを注入し、具体的に何を指すのでしょうか?
早速見ていきましょー!✨

用語説明〜最速で理解したい人のためのIT用語集より抜粋〜

インジェクション攻撃(Injection Attack)・・・外部から不正な文字列を与え、悪意のあるプログラムを実行させる攻撃。

インジェクション攻撃の具体例

インジェクション攻撃では「悪意のあるコードを与える攻撃」が一般的で、具体例としては以下の3つが挙げられます。
<具体例>
・SQLを実行させデータベースの値を書き換えたり、悪意のあるデータを外部へ流出させたりする。
・PHPを実行させウイルスを忍ばせたり、会社のWEBサイトをめちゃくちゃにしたりする。
・OSコマンドを実行させ特定ユーザーの権限を昇格させたり、機密情報へのアクセス権を与えたりする。

SQLインジェクション (最も有名)

インジェクション攻撃の中で最も有名なのが「SQLインジェクション」です。
SQLとはデータの操作に使われるプログラミング言語で、データベースやサーバーなどで利用されています。
通常はWEBページに想定外の情報が入力されてもエラーを返す設計になっているのですが、システムに脆弱性があると、攻撃者がそこから悪意のあるSQL(コード)を送り込み、エラーではなくプログラムにそのまま実行させるのです。
SQLという裏側のコードを入力することで、コンピュータがそれをプログラムの一部だと解釈してしまうために、このようなことが起こってしまいます。
さらに別のケースでは、WEB上で買い物をした顧客の個人情報(クレカ, 住所など)を抜き取り、それを悪用することも考えられます。
もしサーバーごとハックされてしまえば、企業の情報が丸々盗まれてしまう可能性もゼロではないのです。
オソロシイですね・・

インジェクション攻撃からの対策

・システム/ソフトウェア/ネットワーク/モノ/ヒトに対して妥当性を判断する境界を定義し、常に検証する。(少しでも怪しいものはすべて拒否)
・妥当な値と想定される入力ミスのみをホワイトリストとして登録する。
・危険な文字をエスケープするように入力をエンコーディングする。(出力もエンコーディング)
・WAFなどのセキュリティソフトを導入する。
・言語の脆弱性を突かれないような対策をとる。

おわりに

いかがでしたでしょうか。
大規模なインジェクション攻撃などが発生してしまった場合、多額の賠償金が発生するだけでなく、企業のブランドイメージも失墜してしまいます。
事故は起きてからだとどうすることもできないので、日頃の注意がけや仕組みづくりが大事だといえますね。
この記事を通してインジェクション攻撃の理解を深めていただければ幸いです。
最後まで目を通していただきありがとうございました🙇‍♂️

参照元

.https://blog.ohgaki.net/there-are-3-types-of-injection-attack-vulnerability.
.https://www.otsuka-shokai.co.jp/words/injection-attack.html.
.https://ja.wikipedia.org/wiki/インジェクション攻撃.
.https://www.shadan-kun.com/blog/measure/5613/.

イーサネット(Ethernet)って何?前のページ

インスタンス(化)(Instance)って何?次のページ

ピックアップ記事

  1. 最速で理解したい人のためのIT用語集

関連記事

  1. IT用語集

    ナレッジマネジメント(Knowledge Management)って何?

    はじめに「Knowledge + Management = 知識 +…

  2. IT用語集

    スコアリング(Scoring)って何?

    はじめに今回はAI関連のトレンドの1つであるスコアリングについてご紹…

  3. IT用語集

    ウォームスタンバイ、コールドスタンバイ、ホットスタンバイって何?

    はじめにウォームスタンバイ(Warm standby), コールドス…

  4. IT用語集

    GA(Google Analytics)とAA(Adobe Analytics)って何?

    はじめに現在のWEB解析ツールの代表例といえば、GA(Google …

  5. IT用語集

    インプリ(Imple)って何?

    はじめに「そろそろ納品日だぞ。〇〇くん、インプリは終わっているのかね…

  6. IT用語集

    オーバーロード(Overload)って何?

    はじめにオーバーロード(過負荷)ってなかなか耳にしない単語ですよね。…

コメント

  1. この記事へのコメントはありません。

  1. この記事へのトラックバックはありません。

CAPTCHA


カテゴリ
最近の記事
  1. Conversational Analytics APIでお…
  2. Looker Studioで日付フィルターの開始日・終了日の…
  3. Streamlitでdbt-elementary風ダッシュボ…
  4. Adobe WebSDK FPIDでECIDの復元を検証
  5. dbt Projects on Snowflakeで作成した…
  1. IT用語集

    サブルーチン(Sub Routine)・メインルーチン(Main Routine…
  2. Mouseflow

    Web解析ツールだけでは足りない!
  3. Adobe Experience Cloud

    Adobe Target: at.jsの「チラつき」を手っ取り早く回避する
  4. IT用語集

    メモリ(Memory)、仮想メモリ(Virtual Memory)って何?
  5. ObservePoint

    ObservePointの価値とは
PAGE TOP