インジェクション(Injection)
読み方:インジェクション
インジェクションとは
インジェクションとは、プログラムの文字列入力受け付けから不正な命令を実行できてしまう脆弱性の総称です。インジェクションには「SQLインジェクション」や「クロスサイトスクリプティング(XSS)」といった攻撃の起点やターゲットなどが異なるいくつもの脆弱性があり、効果的な対策方法も脆弱性ごとに違います。悪用されるとシステムの乗っ取りや改ざん、情報詐取といった被害が生じる恐れがあります。
インジェクションの攻撃経路とターゲット
インジェクションを悪用した主な攻撃経路は、動的な自社のWebサイトや利用している他社開発のWebアプリです。WebサイトやWebアプリが存在するWebサーバから社内データベースにアクセスできる場合、社内データベースが狙われる恐れがあります。
インジェクションが原因となる問題
インジェクションは、サイバー攻撃以外の問題も引き起こすケースがあります。正規の文字列入力でも命令が誤認されてしまうと、入力は正しく処理されず、システムは正常に機能しません。この問題を未然に防ぐための危険な文字列の置き換え処理、入力規制といった手法は悪意ある攻撃対策以外としても効果的です。
