インジェクション攻撃

インジェクション攻撃とは

データベースやプログラムの脆弱（ぜいじゃく）性を利用した、サイバー攻撃や不正アクセスの総称。「インジェクションアタック（Injection attack）」または「コードインジェクション（Code injection）」とも呼ばれる。

悪意のある攻撃者は、無効なデータ（バグ）などの脆弱（ぜいじゃく）性の高いプログラムにソースコードを注入して不正な命令を実行し、プログラムを改変する。インジェクション攻撃の技術は、情報取得のためのハッキング（クラッキング）やシステムへの不正アクセスにおいて広く用いられている。

攻撃が成功すれば、データの損失・改変をはじめ、ワームの増殖、情報セキュリティの欠如、DoS攻撃（サービスの妨害）、機密情報漏えい、ホストやシステムの乗っ取りなど、深刻な被害が発生するリスクがある。インジェクション攻撃の中で最も有名な手法は、データベースにアクセスするプログラムに不正な「SQL文」を送り込み、データを改ざんしたり情報を抜き取ったりする「SQLインジェクション」である。

ユーザーを、管理者などの上位の権限を持つものに昇格させる「権限昇格攻撃」もある。これは管理者権限でしか実行できないような、アプリケーションのインストールや共有フォルダーへのアクセスなどを可能にさせてしまうものもある。

インジェクション攻撃に対抗するためには、OSやアプリケーションを最新バージョンに更新する、Webアプリケーションを改修する、クラウド型WAFを導入するなどの対策が欠かせない。