SQLインジェクション

Webアプリケーションのぜい弱性を突く攻撃手法の一つ。

SQLは、データベースへの問い合わせ命令文を、組立てて、実行するためのコンピュータの言語のことで、SQLインジェクションは、悪意を持って細工したSQL文を埋め込み、不正にデータベースにアクセスする攻撃のことを指す。

SQLインジェクションによって生じうる脅威は、以下のようなものがある。

• データベースを直接操作されてしまう（重要情報の改ざん、破壊）
• クレジットカード番号や個人情報の漏えい
• Webサイト上にウィルスを埋め込まれる
• 任意のコード・コマンドを実行される（別のサーバーを攻撃する踏み台となる）

このように、個人情報を含む重要情報に不正にアクセスできてしまうため、Webサイトでデータベースを利用する場合、Webアプリケーションを設計・構築する際にSQLインジェクション対策を行わなければならない。

2005年頃から被害件数が増えており、その手口が巧妙化していることから、独立行政法人情報処理推進機構（IPA）では、「安全なウェブサイトの作り方」などの資料を公開し、情報セキュリティ対策の実施を呼びかけている。