SQLインジェクションとは?ソシャゲ開発者視点からみるサーバー攻撃

みなさんこんにちは!

フリーランスプログラマーのsatoです。

今回は「SQLインジェクション」について、初心者向けに、非常に簡単に見ていきましょう。

私の関わってきたプロジェクトでの体験談もありますので、参考にしてみてください。

それではよろしくお願いいたします。

目次

「SQLインジェクション」とは

インジェクションとは和訳すると「注入・挿入」という意味です。

SQLを流し込む悪い行為…

そう考えるとイメージがつきやすいのではないかと思います。

SQLインジェクションを一言でいうなら「Webアプリケーションの脆弱性をついて、SQLをデータベースで実行させる行為」といったこところでしょうか。

例えばどんな風に発生するの?

例えば一番簡単に起こり得る内容で説明しましょう。

Webサービスの開発などに関わったことがある人ならばわかると思いますが…

POSTやGETでデータのやりとりを行うことも少なからずあると思います。

仮にこのデータを、直接(もしくは間接的に)データベースのSQLに使っていたとしたらどうでしょうか。

https://xxxxx.xxx/xxxxx.php?user_id=10001

例えばこんな風に受け取ったデータを…

$sql = "SELECT * FROM user WHERE user_id=" . $_GET['user_id'] . ";"

※例としてPHP式形式で書いています。

そのままこんな風に、SQLにデータを使用していたら…

ユーザーは好きにURLを書き換えて、任意のSQLをデータベースへ流しこめる状況になってしまいますね…

[実録]ソシャゲでのアイテム増殖事件

これは実際にあった話ですが…

昔仕事でソーシャルゲームの開発に関わっていた時、新人の子が先ほどと同じような処理を書いて、リリースしてしまっていたことがありました。

https://xxxxx.xxx/item_get.php?item_id=10001

ちょうどこんな形式で、item_idを送れるようにしていたんですね。

$sql = "INSERT INTO item(item_id,〜〜〜〜〜)VALUES(" . $_GET['item_id'] . ",〜〜〜〜〜);"

※SQL文が適当なのは。あくまで例ということで…

そしてそれがサーバー側で受け取った後、このように特にチェックなくインサート文に使用されている状態でした。

item_idさえ指定してしまえば、誰でも好きなアイテムが取得できる状態になっていたということです。

発見され次第すぐに修正を行いましたが…

しばらくリリースされており、ユーザー間でそんな噂もうっすらあったため、少しの間悪用されていた可能性もあります。

恐ろしい話ですね…

実際こういった問題は、他人事ではなく、実際大いに起こり得る話です。

開発者の方は、送られてきたデータを鵜呑みにせず、必ずチェックを行うようにしましょう。

そもそものサーバーの脆弱性をつかれることも

先ほどまでは、開発の視点からSAQLインジェクションを見てきました。

しかし自分が開発で起こさなくとも、そもそものサーバーの脆弱性を突かれることも大いにあるわけです。

例えば「ソフトのバージョンが古い」「設定が悪い」こういった理由でSQLが流せる状態になっている可能性も大いにあるわけですね。

どう対策すればいいの?

開発の側面から

パラメーターとしてユーザーから受け取った情報は、改ざんされている可能性が少なからずあります。

SQL云々に限らず、チェックをせず使用しないように気をつけましょう。

サーバー管理者の側面から

様々な問題が常にはびこっているため、完全に防ぐことは難しいでしょう…

そのため明確な答えもありません。

しかしバージョンを最新に保つことや、動向に目を走らせておくこと。

操作されても、すぐに発見できるように対策しておくこと。

などなど、できる対策は無数にあります。

つねに脆弱性と戦っていく必要があるでしょう。

まとめ

今回はSQLインジェクションについて見てきました。

正直、完全な対策方法はありません。

しかし極力発生しないように対策し続けることは可能です。

データベースで顧客データをあつかっている場合などは、絶対に気をつけていきましょう。

この記事を書いた人

【プロフィール】
DX認定取得事業者に選定されている株式会社SAMURAIのマーケティング・コミュニケーション部が運営。「質の高いIT教育を、すべての人に」をミッションに、IT・プログラミングを学び始めた初学者の方に向け記事を執筆。
累計指導者数4万5,000名以上のプログラミングスクール「侍エンジニア」、累計登録者数1万8,000人以上のオンライン学習サービス「侍テラコヤ」で扱う教材開発のノウハウ、2013年の創業から運営で得た知見に基づき、記事の執筆だけでなく編集・監修も担当しています。
【専門分野】
IT/Web開発/AI・ロボット開発/インフラ開発/ゲーム開発/AI/Webデザイン

目次