サイバー攻撃の手法

最近では企業ホームページを狙ったサイバー攻撃も増えており、その手法もさまざまです。特にホームページ作成などに関わっているWeb担当者は、きちんと意識しておかなくてはなりません。中でもSQLインジェクションと、クロスサイトスクリプティングは代表的な手法となっており、被害者も多い手法となっています。SQLインジェクションは、SQL文を使ったデータを盗む方法です。企業ホームページは、メールフォームなどを使ってお客の名前や住所、電話番号などを入力してもらいます。入力してもらった個人情報は、データベース上に保管されます。お問い合わせフォームやログイン画面のIDパスワードを入力する欄にSQL文を混ぜ込んで送信すると、データベースを不正に操作できてしまいます。これがSQLインジェクションです。SQLは、そもそも想定していない言語になるために、データベースは命令に従ってしまい、顧客情報などの大切な個人情報を流出させてしまうのです。また、顧客情報だけでなくサーバー上にあるファイルを書き換え、Webページを改ざんするということもあり得ます。クロスサイトスクリプティングは、SQL文ではなく、問題あるスクリプトを入力してホームページを改ざんしてしまう手法です。お客のcookie情報を盗み取れるため、ログインIDとパスワードが筒抜けになってしまいます。IDとパスワードが取られてしまうと、ネットショッピングなどで勝手に使われてしまうことも考えられます。クロスサイトスクリプティングを受けた場合には、被害者でありながら加害者として扱われてしまいます。顧客情報流出などでニュースに出ていたような企業はこのような攻撃を受けたことで、社会的な信頼を失ってしまったのです。