PR

エンジニアが知っておくべき4つのデータベース攻撃シナリオ

2012年11月22日(木)
小河 昭一(オガワ ショウイチ)

(2)Webサーバ、APサーバの脆弱性を攻撃し、サーバへ侵入してデータベースを直接攻撃

Webサーバ、APサーバの脆弱性を攻撃してサーバに侵入し、アプリケーション関連ファイルなどからデータベースのユーザ名、パスワード等のデータベース関連情報を盗み、侵入したサーバからデータベースを直接攻撃するシナリオです。

図3:Webサーバ、APサーバの脆弱性を攻撃(クリックで拡大)

(3)SQLインジェクションによる攻撃

アプリケーションのSQLインジェクションの脆弱性を利用して、アプリケーションが本来実行するはずのSQLを改ざんして実行したり、本来実効されるSQLに追加して別のSQLを実行するというシナリオです。これにより、データベース内のデータが盗まれたり、データの改ざんや削除といった被害が想定されます。

図4:SQLインジェクションによる攻撃(クリックで拡大)

(4)オンライン・サービスの境界防御を迂回する新しい攻撃(APT)

メール、USBメモリー、ダウンロード・ファイル等からウィルスに感染し、そこを足がかりにバックドアが作成されて、新たなウィルスが送り込まれたり、外部にデータベース関連情報を送信されたりして、最終的にはデータベースが直接攻撃されるというシナリオです。

図5:境界防御を迂回する新しい攻撃(APT)(クリックで拡大)

今回は、情報漏えいがもたらす経営リスクと、リスク軽減のためには、従来の境界防御型のセキュリティ対策に加え、データベースのセキュリティ対策が重要であること、および、想定されるデータベースへの攻撃シナリオを簡単にご紹介しました。

攻撃手法は日々進化しており、これだけを想定していれば大丈夫というものではありません。個々の攻撃手法の詳細については独立行政法人情報処理推進機(IPA)による解説をご参照ください。

次回はデータベースのセキュリティ対策として考えるべきことを中心にご紹介します。

【参考文献】

データベース・セキュリティ・コンソーシアム

日本ネットワークセキュリティ協会

  • 「2011年度 情報セキュリティインシデントに関する調査報告書 ~個人情報漏えい編~」

(リンク先最終アクセス:2012.11)

<編集部より> 図5に一部間違いがあったため、修正しました。(2012.11.26)

著者
小河 昭一(オガワ ショウイチ)
株式会社アシスト

株式会社アシスト 情報基盤事業部データベース製品統括部 技術部長
業務アプリケーションのプログラマー、プロジェクト・マネージャを経てアシストへ入社。アシスト入社後は、メインフレーム上のデータベースからOracleデータベースへのダウンサイジング案件を多数手がける。2005年 データベース・セキュリティ・コンソーシアムにおいて、「データベースセキュリティガイドライン」の作成に参画、2012年からは同コンソーシアムの運営委員として活動を行っている。

連載バックナンバー

Think ITメルマガ会員登録受付中

Think ITでは、技術情報が詰まったメールマガジン「Think IT Weekly」の配信サービスを提供しています。メルマガ会員登録を済ませれば、メルマガだけでなく、さまざまな限定特典を入手できるようになります。

Think ITメルマガ会員のサービス内容を見る

他にもこの記事が読まれています