インジェクション攻撃

読み方 : いんじぇくしょんこうげき

インジェクション攻撃とは

データベースやプログラムの脆弱(ぜいじゃく)性を利用した、サイバー攻撃や不正アクセスの総称。「インジェクションアタック(Injection attack)」または「コードインジェクション(Code injection)」とも呼ばれる。

悪意のある攻撃者は、無効なデータ(バグ)などの脆弱(ぜいじゃく)性の高いプログラムにソースコードを注入して不正な命令を実行し、プログラムを改変する。インジェクション攻撃の技術は、情報取得のためのハッキング(クラッキング)やシステムへの不正アクセスにおいて広く用いられている。

攻撃が成功すれば、データの損失・改変をはじめ、ワームの増殖、情報セキュリティの欠如、DoS攻撃(サービスの妨害)、機密情報漏えい、ホストやシステムの乗っ取りなど、深刻な被害が発生するリスクがある。インジェクション攻撃の中で最も有名な手法は、データベースにアクセスするプログラムに不正な「SQL文」を送り込み、データを改ざんしたり情報を抜き取ったりする「SQLインジェクション」である。

ユーザーを、管理者などの上位の権限を持つものに昇格させる「権限昇格攻撃」もある。これは管理者権限でしか実行できないような、アプリケーションのインストールや共有フォルダーへのアクセスなどを可能にさせてしまうものもある。

インジェクション攻撃に対抗するためには、OSやアプリケーションを最新バージョンに更新する、Webアプリケーションを改修する、クラウド型WAFを導入するなどの対策が欠かせない。

制作協力:株式会社インプレス

[2018年 8月20日 公開]

ビジネスに役立つ多彩なコースを全て無料でご利用いただけます。

ビジネスマナーやセキュリティ、働き方改革のヒントなど多彩なコースをご用意しています。

ページID:00152313

ナビゲーションメニュー