セキュリティ 情報漏洩を防ぐ!対策を考えよう
不正な命令による攻撃、いわゆる「注入攻撃」は、外部からの悪意ある命令を巧みに紛れ込ませ、正規の操作に見せかけてシステムを不正に利用する攻撃手法です。インターネット上で情報をやり取りする際、利用者は様々な窓口を通して情報を送ります。例えば、会員登録や商品購入の際に利用する入力画面、あるいは検索窓などです。これらの窓口を通して送られた情報は、通常、奥にある情報管理庫のような場所に保管され、必要な時に引き出されて処理されます。この処理の過程で、送られた情報の内容をきちんと確認せずそのまま利用してしまうと、悪意ある命令が紛れ込んでいても見抜くことができません。これは、ドアの前にある荷物の中身を確認せずに家の中に持ち込んでしまうようなものです。もし荷物の中に危険物が隠されていた場合、大変な事態になってしまいます。例えば、情報管理庫から特定の情報を引き出すための命令に、悪意ある命令を付け加えて送ることで、本来アクセスできないはずの情報まで盗み出すことが可能になります。また、情報を書き換える命令に不正な命令を紛れ込ませれば、保管されている情報を改ざんすることもできてしまいます。このような攻撃は、ホームページの書き換えや情報漏えいといった重大な被害につながるため、特に個人情報や企業秘密といった重要な情報を取り扱うホームページでは、不正な命令による攻撃を防ぐための対策が欠かせません。システムを設計する段階から、送られてきた情報を適切に確認し、危険な命令を取り除く仕組みを組み込むことが重要です。まるで、荷物の中身を細かく検査するレントゲン装置のように、外部からの情報に潜む危険を的確に見抜く仕組みが必要なのです。