インジェクション攻撃

読み方 : いんじぇくしょんこうげき

インジェクション攻撃とは

データベースやプログラムの脆弱(ぜいじゃく)性を利用した、サイバー攻撃や不正アクセスの総称。「インジェクションアタック(Injection attack)」または「コードインジェクション(Code injection)」とも呼ばれる。

悪意のある攻撃者は、無効なデータ(バグ)などの脆弱(ぜいじゃく)性の高いプログラムにソースコードを注入して不正な命令を実行し、プログラムを改変する。インジェクション攻撃の技術は、情報取得のためのハッキング(クラッキング)やシステムへの不正アクセスにおいて広く用いられている。

攻撃が成功すれば、データの損失・改変をはじめ、ワームの増殖、情報セキュリティの欠如、DoS攻撃(サービスの妨害)、機密情報漏えい、ホストやシステムの乗っ取りなど、深刻な被害が発生するリスクがある。インジェクション攻撃の中で最も有名な手法は、データベースにアクセスするプログラムに不正な「SQL文」を送り込み、データを改ざんしたり情報を抜き取ったりする「SQLインジェクション」である。

ユーザーを、管理者などの上位の権限を持つものに昇格させる「権限昇格攻撃」もある。これは管理者権限でしか実行できないような、アプリケーションのインストールや共有フォルダーへのアクセスなどを可能にさせてしまうものもある。

インジェクション攻撃に対抗するためには、OSやアプリケーションを最新バージョンに更新する、Webアプリケーションを改修する、クラウド型WAFを導入するなどの対策が欠かせない。

制作協力:株式会社インプレス

[2018年 8月20日 公開]

ビジネスシーンのカタカナ用語を新しい解釈でご紹介

「エビデンス」「ステークホルダー」「ブルー・オーシャン」って何?ビジネスシーンでよく耳にするカタカナ語をイラスト付きで解説。正しい意味や使い方をはじめ、「こんな使い方もできるかも?」「こんな風に使ってみては?」という新解釈をご紹介しています。

ページID:00152313