ワクチン予約システムで話題の「SQLインジェクション」って何? 試すと法律違反? 専門家に聞く
今回は「ワクチン予約システムで話題の「SQLインジェクション」って何? 試すと法律違反? 専門家に聞く」についてご紹介します。
関連ワード (事前、処理、報告等) についても参考にしながら、ぜひ本記事について議論していってくださいね。
本記事は、It Media News様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。
防衛省が5月17日に始めた、大規模接種センターの新型コロナワクチン接種予約システム。Twitterでは「架空の番号で予約できる」「接種期間外でも予約できる」など、仕様にさまざまな問題が指摘された。その中には「SQLインジェクション」という手法を使い、システムが使っているデータベースに不正アクセスできてしまう可能性がある、という指摘もあった。
SQLインジェクションとは、システムが想定しない「SQL文」を何らかの方法で実行させ、利用しているデータベースを不正に操作する手法を指す。SQL文は、データベースを操作するための命令文だ。
ネット上では、本当に試したかのように「SQLインジェクションが行えた」と報告する投稿もあった。一方で、こういった行為は不正アクセス禁止法に抵触するのではないか、という指摘も出ている。SQLインジェクションが可能かどうか試す行為は本当に犯罪に当たるのか。ネットセキュリティ専門会社のEGセキュアソリューションズで代表取締役を務める徳丸浩さんに聞いた。
「ワクチン予約システムにSQLインジェクション」は不正アクセスにはならない ただし例外も
【更新:2021年5月20日午後1時 当初見出しを「犯罪にならない」としていましたが、電子計算機損壊等業務妨害罪など別の罪に当たる可能性があるため、「不正アクセスにはならない」と変更しました。】
徳丸さんによれば、今回のワクチン予約システムにSQLインジェクションを行う行為が不正アクセス禁止法に抵触する可能性は低いという。ただし、状況によっては例外もあるとしている。
「不正アクセス禁止法はパスワードなどで保護されたサイトが対象。今回の予約システムにはこういった認証が設定されておらず、SQLインジェクションを試すだけなら対象外になるとみられる。ただし、データベースが別のシステムと連携しており、そちらがパスワードで保護されていた場合は、抵触する可能性もある」(徳丸さん)
Twitter上では架空の番号でも予約できるという指摘があったが、こういった行為も過度に行えば罪に問われる場合がある。例えば、架空の予約を数百件、数千件と行った結果、ワクチン接種現場での業務に悪影響を与えた場合、偽計業務妨害に当たる可能性があるという。
SQLインジェクションを許すと情報漏えいのリスクに
場合によっては犯罪になりうるSQLインジェクション。実際に行えてしまうと、システムやその提供者はどんなリスクを抱えることになるのか。
徳丸さんによれば、SQLインジェクションを行うことで、システムが利用するデータベース上の情報を不正に変更できるという。変更の仕方によっては、本来想定していないデータが追加される、データを削除される、情報が漏えいするといった事態が起こる場合もある。もし攻撃されたデータベースを他のシステムでも使っている場合、そのシステムに影響が出る可能性もあるという。
今回のワクチン予約システムは、生年月日や事前に配布された接種券番号など4つの数値を入力する仕組みだ。このシステムでは「UPSERT文」というSQL文を使って、これらの情報をデータベースに登録しているとみられる。
UPSERT文では、データベース上にすでに情報があれば更新し、なければ新規に登録する、という処理を行う。仮に予約システム上でSQLインジェクションが行える場合、この工程を不正に書き換えられる可能性があるという。変更の仕方によっては、情報漏えいにもつながりうるとしている。
ただし、本当に今回の予約システムでSQLインジェクションが行えるかどうかについては「そもそも、SQLインジェクションが行えるという話があくまでSNS上のうわさ。真偽が定かでなく、ガセネタの可能性が高い」(徳丸さん)としている。
予約システムは「スピード優先」で構築か
Twitterではさまざまな問題が指摘されたワクチン予約システム。しかし徳丸さんは、仮に架空の番号で予約したとしても、接種現場では本人確認書類や接種券を見せないと予防接種ができない仕組みになっていることを指摘。いたずら以上にはならないことから、システムの仕様は状況に対して妥当なものだと分析する。
「急な話だったので、スピードを優先してシンプルなシステムを作ったとみられる。そもそも現状は緊急事態なので開発に何カ月も掛けるのはナンセンス。他人の情報が見えるといった話が出ている訳ではないので、確かに“イケてない”ところもあるが、国民の利益につながる判断をしたのでは」
Copyright © ITmedia, Inc. All Rights Reserved.
バッチ処理とは - コトバンク
日本大百科全書(ニッポニカ) - バッチ処理の用語解説 - コンピュータの運用形態の一つ。データまたはプログラム、あるいはその双方にジョブ制御言語による指示をつけ、コンピュータで処理をすることができる形にしたひとまとまりの仕事をジョブというが、このジョブをいくつかあらかじめまとめてお...
環境省_廃棄物等の処理 - env
廃棄物等の処理 廃棄物処理に関する法令・制度等、一般廃棄物・産業廃棄物に係る各種施策などについて紹介しています。 PDF形式のファイルをご覧いただくためには、Adobe Readerが必要です。Adobe Reader(無償)をダウンロードしてご ...
機密文書・重要書類の安全処分|古紙回収・機密文書抹消処理 ...
古紙回収および機密文書・廃棄文書の抹消処理の専門会社、株式会社テルヰ。私たちは、機密文書や古紙の回収、消去、処分まで一貫体制で承ります。
JIS規格用語 - JIS規格の用語・定義/ねじ,溶接,プレス・工作機 …
JIS規格の用語・定義/ねじ,溶接,プレス・工作機械,鉄鋼,工具,製図,ばね,熱処理,塗装,めっきetc. by JIS規格用語
海水淡水化装置・含塩水脱塩造水装置・排水処理装置・浄水器 ...
海水淡水化装置・含塩水脱塩造水装置・排水処理装置・浄水器の設計・製造・販売の水処理エース株式会社 当社では逆浸透膜(RO膜)を利用し海 水を淡水化する装置である海水淡水化装置や河川や井戸水など塩分を含む水を飲料水に適した水質に造水する含塩水脱塩造水装置など生活 …
岡山理科大学情報基盤センター
· 学内専用 情報基盤センター実習室時間割 大学情報倫理ガイドライン 大学情報倫理要綱(学生向) 不正アクセス行為の禁止法について 講習会・説明会開催のお知らせ 実習室・無線LAN利用について 大判プリンター利用について
情報処理学会
情報処理学会ホームへ ※コンピュータ博物館は,情報処理学会歴史特別委員会内に設置されたコンピュータ博物館実行小委員会が制作しています . コンピュータ博物館について 日本のコンピュータ 日本のコンピュータパイオニア ...
JTrim - WoodyBells
一括変換処理機能に「余白作成」を追加。 リサイズで最近使用したサイズをドロップダウンで選択出来るようにした。 v1.49 カラーメニューに「赤目補正」機能を追加。 「JPEG品質」を「保存オプション」と改名し「ファイル」メニューへ
静岡産業廃棄物処理協同組合 - 廃棄物の有効利用と資源化を ...
静岡県産業廃棄物処理協同組合のホームページです お問い合わせ プライバシーポリシー HOME 2020/10/20 組合員全体会議開催中止について 2020/10/20 BCP策定セミナー 2020/09/01 令和2年度安全標語 採用者決定 HOME 事業案内 ...
東京PCB処理事業所
東京PCB廃棄物処理施設は、東京都、江東区のご理解の下に受入表明がなされ、平成16年8月に北九州事業、豊田事業に次ぐ三番目の事業として着工しました。その後、建設工事を進め、平成17年6月から10月まで試運転を実施しました。