SQLインジェクションによる個人情報漏洩

SQL インジェクション^*（SQL injection）による Web サイトからの個人情報の漏洩事故が増えています。
その背景には、SQL インジェクションという言葉は知っていても、具体的な対策を知らないサイト運営者や Web 技術者がいるためと考えられています。
御社のサイトは大丈夫ですか？

【事例】SQLインジェクションによる個人情報漏洩事件
2005 年 5 月から 6 月にかけ、SQL インジェクションによる個人情報漏洩事件が発生し、社会問題となりました。その後、対策がとられ、2009 年 4 月の段階では 21 件と減少していましたが、その後増加に転じ、7 月には 534 件とわずか 4 カ月で 25 倍まで膨れあがりました。

価格.com　価格比較サイト: 2005 年 5 月、ホームページが改竄され、一時閉鎖に追い込まれた。製品情報などを管理するデータベースが、SQL インジェクションによって乗っ取られたことが原因。また、22,511 件のメールアドレスが盗まれていた。
アデコ　大手人材派遣会社: 2005 年 1 月 18 日～6 月 2 日にサイトから仕事の申し込みなどをした約 6 万 1000 人の個人情報が流出した恐れがあると発表した。
＠SOLA ショップ　オンラインショップ: 2007 年 7 月、2 年にわたり外部より不正アクセスを受け、個人情報約 1 万 3000 件が流出していたことを発表。SQL インジェクション対策は実施されていたものの、脆弱性が存在したという。＠SOLA ショップは閉鎖され、再開の目処は立っていない。
サウンドハウス　オンラインショップ: 2007 年 3 月 11 日から 22 日まで、中国から SQL インジェクションによる攻撃を受け、顧客の個人情報が 9 万 7500 件流出した可能性がある。流出したデータは、氏名や性別、生年月日、メールアドレス、パスワードだが、そのうち 2 万 7743 件については、カード名義やカード番号、有効期限など含まれていた。
ナチュラム・イーコマース　オンラインショップ: 2008 年 8 月 6 日、SQL インジェクションによる攻撃を受け、65 万 3423 件の個人情報（ID、パスワード、氏名、メール・アドレス、住所、電話番号など）が流出した可能性があると発表した。漏洩した顧客マスター・データベースには 8 万 6169 件のクレジットカード情報が登録されていたが、下 4 桁は登録されないようになっていたという。
ゴルフダイジェスト・オンライン: 2008 年 9 月、SQL インジェクション攻撃を受け、10 日間にわたってサイトを閉鎖した。個人情報漏洩はなかったとされるが、メールマガジンに不正な URL が埋め込まれ、URL をクリックしたユーザーはマルウエアに感染する危険性があった。

（この項おわり）

SQLインジェクションによる個人情報漏洩

【事例】SQLインジェクションによる個人情報漏洩事件