攻撃者は工夫を凝らし、ソフトウエアの脆弱性を意のままに操ろうとしている。だが、ソフトウエアに脆弱性が存在しても、意図したように動作させるのは容易ではない。その手口は、脆弱性の種類によって様々だ。どのようなメカニズムで脆弱性は悪用されるのか。代表的な手口を取り上げ、その恐るべきメカニズムを図解する。

イラスト=森のくじら
イラスト=森のくじら

 Webサーバーの脆弱性としては、「SQLインジェクション」脆弱性も代表的だ。Webサーバー上で動作するWebアプリケーションの脆弱性である。

 Webサーバーの多くはデータベースサーバーと連携している。Webページの表示に必要な情報はデータベースに格納しておき、ユーザーの要求に応じて必要な情報をその都度検索して取り出す。それを基に動的にWebページを生成してユーザーに送信する。このデータベースは、SQLという言語で記述された命令文で制御される。

▼SQL
Structured Query Languageの略。