攻撃者の関心は金目のデータにあり 今、インターネットからSQLインジェクション(※1)という攻撃を通じて、データベース(DB)内に格納された個人情報(特に電子メールアドレス)に始まり、クレジットカード情報、さらにはオンラインゲームのアカウント情報までもが狙われている(表1)。 ※1 第三者がWebアプリケーションなどのセキュリティ上の脆弱性を悪用してデータベースの不正な操作を可能とする攻撃手法。 個人情報やメールアドレスは通常、攻撃者と名簿業者やスパムメール業者などの間で売買されている。またオンラインゲームのアカウントは、普通に取引サイトで売買されている。表向きはゲームをする時間がない人が時間を金で買うために、「アカウント+レアなアイテムや経験値」という形で売られている。一方、クレジットカード情報の場合は、売買取引ではなく、カード番号、有効期限に加えて当該サイトにログインするためのパスワー
![脆弱性診断ツールだけでは見つけられないDBセキュリティの脅威](https://cdn-ak-scissors.b.st-hatena.com/image/square/2857ce9e7d2cf5d974bc68ecc319590ed9b92dc8/height=288;version=1;width=512/https%3A%2F%2Fimage.itmedia.co.jp%2Ftt%2Fnews%2F0809%2F02%2Fl_dbsec_gamen01.jpg)