SQL インジェクション.

SQL インジェクション(SQLi)は、パラメータ化クエリを用いる代わりに、信頼できない入力を SQL 文に連結しているアプリケーションを悪用します。攻撃者はクォート・コメント・UNION 句を差し込むことで、意図されたクエリを書き換え、テーブルのダンプ、認証バイパス、権限昇格、データベースコマンドの実行を行います。バリエーションには、古典的なインバンド型、エラーベース型、ブラインドのブール/時間ベース型(レスポンスや応答遅延からデータを 1 ビットずつ推測する)、そして保存された入力が後で再利用されたときに発火するセカンドオーダー型があります。

SQLi は数十年前から存在しますが、依然として壊滅的です。Progress MOVEit Transfer のゼロデイ SQL インジェクション脆弱性 CVE-2023-34362 は、2023 年 5 月下旬から Cl0p ランサムウェアグループによって悪用されました。認証されていない攻撃者が SQL を注入して LEMURLOOT Web シェルを展開し、データベースの内容を窃取した結果、波及して数千もの下流組織に影響が及びました。約 157,000 件の顧客記録が流出した 2015 年の TalkTalk 侵害も同様に、レガシーな Web ページに対する SQL インジェクションでした。SQLi は OWASP Top 10 の A03:2021(インジェクション)に位置づけられています。

主要な防御策はパラメータ化クエリ/プリペアドステートメントであり、コードとデータを分離することで、入力がクエリ構造を変えられないようにします。これに加えて、安全に利用された ORM フレームワーク、許可リスト方式の入力検証、最小権限のデータベースアカウント(アプリのログインに DBA 権限を与えない)、ストアドプロシージャの衛生管理、そして多層防御としての WAF で補強します。手動エスケープのみに頼るのは脆弱であり、推奨されません。

flowchart TD
  U["信頼できない入力"] --> C{"クエリはどう構築されるか?"}
  C -->|"文字列連結"| I["' OR 1=1 -- が SQL に注入される"]
  I --> DB[("データベースが攻撃者の SQL を実行")]
  DB --> X["データダンプ / 認証バイパス"]
  C -->|"パラメータ化クエリ"| S["入力はコードではなくデータとしてバインド"]
  S --> OK["クエリ構造が保持される — 安全"]