SQLインジェクションによる個人PC上の情報漏洩

こんにちは。匠技術研究所の谷山 亮治です。


「SQLインジェクションによる個人PC上の情報漏えい」では、本日（2008年10月20日）読売新聞で報道された「閲覧者のPC情報流出」について考えてみます。

記事の要旨は、
独立行政法人「石油天然ガス・金属鉱物資源機構」の公式サイトが海外からのクラッカーの攻撃を受けた。閲覧者のパソコンから情報を抜き取るウイルスソフトが閲覧により知らぬ間にダウンロードされパソコンに盗り付く。ウイルスが盗り付いたパソコンは、外部から操作可能になり、パソコン内部の重要な情報を盗み取ることが可能になる。閲覧者はパソコンの異常に気づかないため、日々新しい情報も盗まれる可能性がある。

これは、困った事態です。記事ではウイルス対策ソフトの最新版で検知できるような記述になっていますが「最新版にしたほうが良い」ではなく「必ず最新版にしてパソコンをチェックしてください」です。「石油天然ガス・金属鉱物資源機構」のホームページにアクセスした覚えのある方は「パソコンをネット（LAN）につながないこと」＝「通信を完全に遮断すること」です。そうすると外部からの通信は完全に遮断されます。

一方、インターネットにつなぐことができないので、ウイルス対策ソフトを更新することができません。必ず必要なデータをバックアップして、パソコンはリカバリー（初期化）します。

一旦ウイルスに感染したパソコンは、ウイルスの侵入により、何がどう動いているのか判らないので「リカバリー」が原則です。

この記事で注意すべき点は「閲覧者はウイルスの侵入に気づかない」「情報をいつ盗まれたかも判らない」点です。どのタイミングで情報が盗まれるか判りません。その状態でネット接続して最新のウイルス対策かどうか確認して、パソコンの検査をして等と悠長なことはできません。

プログラムを作る経験からすれば、ウイルスにかったPCが通信を開始したタイミングで情報を盗もうとするはずです。

「SQLインジェクション」による攻撃でウイルスが仕掛けられているかどうかは、サイトの管理者のみわかることで、閲覧者が事前に知ることはできません。

他にも「同様の仕掛けをしたサイトがある」と考えると、日常の防御は「最新のウイルス対策データを使うこと」しか方法はありません。「私は安全」の確約がないのですから。他人事ではなく、インターネットにつなぐならウイルス対策を完全に行う必要があります。


（*）この記事の作成・投稿はWindowsXPとFirefox3で行いました。
（*）EeePC 901-Xと長崎県大村市のマクドナルドのBBモバイルポイントでネット接続しました。

☆中小企業のIT活用に関する、ご質問・ご相談はお気軽にどうぞ！