SQLインジェクションを考える
サウンドハウスのハッキングの実例が出ているんですか!!!!
前述のような攻撃ツールを配布しているサイトとともに、これらのツールを使った攻撃指南や、実際にどのように攻撃を行なったかといった情報が書かれた、「悪意のハウツー記事」とでも呼べるようなページも多数確認できる。
例えば、日本の有名楽器販売サイトである「サウンドハウス」がSQLインジェクション攻撃によって、顧客のクレジットカード情報などが流出、悪用された事件では、このサイトがどのようにして攻撃可能だったかなどをなどを示した悪意のハウツーが、中国のブログサイトに掲載されていた。
勉強したスクリプトキディがバイト程度でやってるイメージかな・・・それとも自動化か・・・
SQLインジェクションという方法を悪意のユーザーが取るための環境が整ってきたと考える。具体的には、
- 検索サイトのノウハウ
- 悪意のツールが出回っていること
- 悪意の利用のハウツー記事
が充実したことで、それほど知識のないユーザーでもSQLインジェクションによるサーバー攻撃が可能になってしまっていることが大きいと考える。
日本では作らないように!!!(メンメッ!(`´メ)!
日本の場合には、いわゆる不正アクセス禁止法(不正アクセス行為の禁止等に関する法律)により、こうした攻撃によって得た情報、例えばパスワードなどの情報を公開することは禁止されているため、まずそのような情報がネット上に掲載されることはない。しかし、海外には日本のような法整備や運用が行なわれていない国もあり、特に中国などではよくそうしたサイトが見受けられる。