ワクチン予約システムで話題の「SQLインジェクション」って何? 試すと法律違反? 専門家に聞く
防衛省が5月17日に始めた、大規模接種センターの新型コロナワクチン接種予約システム。Twitterでは「架空の番号で予約できる」「接種期間外でも予約できる」など、仕様にさまざまな問題が指摘された。その中には「SQLインジェクション」という手法を使い、システムが使っているデータベースに不正アクセスできてしまう可能性がある、という指摘もあった。 SQLインジェクションとは、システムが想定しない「SQL文」を何らかの方法で実行させ、利用しているデータベースを不正に操作する手法を指す。SQL文は、データベースを操作するための命令文だ。 ネット上では、本当に試したかのように「SQLインジェクションが行えた」と報告する投稿もあった。一方で、こういった行為は不正アクセス禁止法に抵触するのではないか、という指摘も出ている。SQLインジェクションが可能かどうか試す行為は本当に犯罪に当たるのか。ネットセキュリ
SQLインジェクションによる攻撃の被害事例と5つの防止策
SQLインジェクションは古典的な攻撃手法でありながら、今なお多くの被害が報告されている。機密情報や個人情報を扱うWebサイトの担当者は、SQLインジェクションに対して適切な対策を講じる責任を負っている。本記事では、SQLインジェクションに関連する被害事例を紹介しながら、その対策について解説する。 SQLインジェクションによる被害とは? デジタル全盛の時代では、あらゆる情報システムにおいてデータベースが利用されている。会員制サイトやECサイト、投稿機能を有する、さまざまなWebサービスに至るまで、多くのWebサイトに組み込まれている。例えば、ECサイトであれば顧客情報、商品情報、注文情報といった機密性が高い情報がデータベースに格納されている。Webサイト上のデータベースの検索、読み出し、書き出しは多くの場合、SQLで記述されたプログラムで処理される。 SQLインジェクションとは、このSQLと
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
