最大で7700万人の個人情報が流出。SQLインジェクションの被害事例とは?

2017.12.19

被害事例

image

SQLインジェクションとは何か、前回の記事で解説しました。
それでは、SQLインジェクションによってどんな被害が発生したのでしょうか?
今回はSQLインジェクション攻撃による被害事例を紹介します。

目次

史上最大規模のSQLインジェクション攻撃

2011年ソニーグループに対する標的型と考えられるSQLインジェクション攻撃が発生しました。これはSQLインジェクション攻撃による情報漏えいの中でも最大規模のものでした。

①2011年4月、ソニーのPlayStation関連のネットワークサービス「PlayStation Network」(PSN)で約7700万人の個人情報漏えいが発生

漏えいした情報は、氏名、住所、Eメールアドレス、生年月日、PlayStation®Network/Qriocity™パスワード、PlayStation®NetworkオンラインID
 
購入履歴、請求先住所、パスワード再設定用の質問への回答等のプロフィールデータ、サブアカウントに関する情報とのことです。
http://cdn.jp.playstation.com/msg/sp_20110427_psn.html
https://jp.reuters.com/article/idJPJAPAN-20830920110427

②2011年5月、ソニー・ミュージックエンタテインメント(SME)のギリシャ、インドネシア、日本語サイトsonymusic.co.jpがSQLインジェクションにより不正アクセスされた可能性

その他、ソニーグループに対する様々な攻撃が集中的に発生したことから、ソニーグループに対する標的型攻撃と考えられます。

そして、SQLインジェクションへの対策の重要性が広く認識された事件でした。
http://www.itmedia.co.jp/news/articles/1105/24/news110.html

以後も発生しつづけるSQLインジェクション攻撃

2011年のソニーの事件はSQLインジェクション攻撃を世の中に知らしめることになりましたが、これで事態が収束したわけではなく、他サイトでの被害は継続しています。

例えば、2015年7月 株式会社シャトレーゼのWebサイトがSQLインジェクション攻撃を受け、約21万人分のWeb会員情報が漏えいした可能性があると発表しました。
http://itpro.nikkeibp.co.jp/atcl/news/15/073002537/?ST=security&rt=nocnt

SQLインジェクション攻撃による被害は、止まることなく2017年現在も事件が発生しています。

2017年2月に発表された事件では、日販アイ・ピー・エスのWebサーバがSQLインジェクション攻撃を受けたことにより最大13万1936件分の顧客情報が流出しました。
メールアドレスをはじめ、ユーザーによってはカード名義やクレジットカード情報も含めれていました。
http://www.security-next.com/078416

さらに、2017年5月17日、InterFM897のサイトでSQLインジェクションにより個人情報2728件漏えいが発生しました。
https://www.interfm.co.jp/image/top/unauthorizedaccess.pdf

被害事例から考えるSQLインジェクション対策とは?

以上のように、標的型だけでなく、広くWebサイトへSQLインジェクションの可能性を探って攻撃する無差別攻撃も想定すると、データベースサーバを利用した動的Webコンテンツをインターネットに公開する場合は、SQLインジェクション対策は必須と言えます。
事例では、いずれも情報漏えいの事件でしたが、データベースサーバに個人情報がなくても、アクセスしたユーザにマルウェアを仕込ませるような不正なスクリプトを含むデータをデータベースに書き込まれる可能性があります。

ユーザーへ被害を出さないためにも、SQLインジェクション対策についてもう一度おさらいをしましょう。


通常、Webサーバのログ監視は正常終了か異常終了かを示すステータスを監視します。
SQLインジェクション攻撃はアプリケーション上は正常終了となるため、Webサーバのログ監視では不正アクセスには対応することは難しいです。
ただ、被害が明らかになったところでWebサーバのログを確認して、アプリケーションの攻撃された箇所と攻撃者が行った操作を特定することはできます。
これにより、被害範囲を把握することができます。

SQLインジェクションの根本対策としては、アプリケーションがユーザからの入力値に対して、想定する値以外は許可しないようなチェックロジックを組み込むことです。被害事例でのアプリケーションも基本的には同様の対策をしているはずですが、人の手によって作られたアプリケーションである以上、100%保証することは難しいです。

そこで、WAFが活躍します。
WAFとはWeb Application Firewallのことであり、Webアプリケーションの脆弱性を悪用した攻撃からWebサイトを防御するための製品です。
WAFはSQLインジェクションだけでなく、クロスサイト・スクリプティングパスワードリスト攻撃など、Webアプリケーションの脆弱性を悪用した攻撃に有効です。
特に、サービス型WAFまたはクラウド型WAFとも呼ばれる、WAFをSaaSや、クラウド上の仮想的なアプライアンスとして提供するサービスを利用すれば、以下の利点があります。

自社環境の変更が最小限で済む

基本的にはDNS設定の変更だけで済むため、導入が容易です。さらに、このことから、対象となる環境はクラウド環境でもオンプレミス環境でも利用できる点もメリットです。

専門知識・専門家が不要

従来型のWAFはセキュリティ知識を有する専門家による運用が必要でした。
クラウド型WAFの場合、運用はセキュリティベンダーが行うので、脆弱性の対応やチューニングなどの作業は利用者側では不要です。

インフラの調達が不要

数ヶ月はかかっていた機器購入・構築が不要なため、従来のWAFと比べ迅速に導入可能です。

初期費用・運用コストが低い

機器の購入など初期にかかる費用がないため、安価に導入することができます。さらに、運用にかかる人件費が不要なこともメリットです。

柔軟なプラン契約

クラウドのため上位プランへの変更が容易、短期利用も可能です。

クラウド型WAFは運用も簡単、導入も比較的容易にできるため、昨今需要が拡大してきています。
今までWAFの対策を行なっていなかったというサービス提供者はクラウド型WAFの利用を検討してみてはいかがでしょうか。