インジェクション攻撃とは
データベースやプログラムの脆弱(ぜいじゃく)性を利用した、サイバー攻撃や不正アクセスの総称。「インジェクションアタック(Injection attack)」または「コードインジェクション(Code injection)」とも呼ばれる。
悪意のある攻撃者は、無効なデータ(バグ)などの脆弱(ぜいじゃく)性の高いプログラムにソースコードを注入して不正な命令を実行し、プログラムを改変する。インジェクション攻撃の技術は、情報取得のためのハッキング(クラッキング)やシステムへの不正アクセスにおいて広く用いられている。
攻撃が成功すれば、データの損失・改変をはじめ、ワームの増殖、情報セキュリティの欠如、DoS攻撃(サービスの妨害)、機密情報漏えい、ホストやシステムの乗っ取りなど、深刻な被害が発生するリスクがある。インジェクション攻撃の中で最も有名な手法は、データベースにアクセスするプログラムに不正な「SQL文」を送り込み、データを改ざんしたり情報を抜き取ったりする「SQLインジェクション」である。
ユーザーを、管理者などの上位の権限を持つものに昇格させる「権限昇格攻撃」もある。これは管理者権限でしか実行できないような、アプリケーションのインストールや共有フォルダーへのアクセスなどを可能にさせてしまうものもある。
インジェクション攻撃に対抗するためには、OSやアプリケーションを最新バージョンに更新する、Webアプリケーションを改修する、クラウド型WAFを導入するなどの対策が欠かせない。
