【BreezeGroupセキュリティレポート】データベースへの不正な操作を防ぐ～SQLインジェクション～

BreezeGroupセキュリティレポートは、弊社で行っているセキュリティ対策や情報セキュリティに関連する情報などをまとめています。

今回は、Webページセキュリティ対策について「データベースへの不正な操作を防ぐ～SQLインジェクション～」についてお話しいたします。

SQLインジェクションとは

SQLインジェクションは、データベースと連携する機能（特にプラグイン）に存在する脆弱性を悪用し、不正なデータベース操作を強制する極めて危険な攻撃です。

SQLインジェクションが引き起こす問題

SQLインジェクションは、単なるWebページの見た目の改ざんに留まらず、組織に甚大な被害をもたらします。

＜具体的な問題点＞

①機密情報および個人情報の漏洩

SQLインジェクションの第一の目的は、データベースから情報を盗み取ることです。
メールアドレス、連絡先、クレジットカード情報など利用者情報の流出やビジネス上の機密情報を窃取される可能性があります。

②セキュリティ制御の無効化

SQLインジェクションを利用して、サイトのセキュリティを根本から無効化します。
そして、管理者権限を奪い、Webページの改ざんや不正プログラムの配布、フィッシングサイトへの誘導を行います。

③サービス停止

データベースが攻撃されると、サービスの継続そのものに影響を及ぼします。
データと機能が破壊された場合、復旧には多大な時間とコストを要します。

WordPressコーポレートサイトにおける対策

SQLインジェクションを防ぐための対策は、主に「安全なコーディング」と「防御システムの導入」の2点に集約されます。

＜SQLインジェクションを防ぐための対策＞

①プレースホルダによる安全な実装の徹底

WordPressサイトで使用しているプラグインやテーマが、データをデータベースに渡す際に、「プレースホルダ」と呼ばれる手法を用いて、データとSQL命令文を完全に分離します。弊社ではサービス開発時に対策を講じています。

②信頼できるプラグイン・テーマの利用と最新化

導入するプラグインやテーマは、定期的にセキュリティアップデートが行われ、高い評価を受けているものに限定します。現在、コーポレートサイトに実装されているプラグインとテーマは厳選して実装しております。また、WordPress本体やプラグイン、テーマを常に最新のバージョンに更新し、既知の脆弱性を解消します。

弊社提供サービスでは、最新状態へのアップデートを実施しています。また脆弱性の確認を毎日実施し、影響範囲にあるプラグインがあれば停止し脆弱性を解消します。