概要
Microsoft SQL Server に おいて、SQL インジェクション の 脆弱性 が 発見 されました。この 脆弱性 は CWE-89(Improper Neutralization of Special Elements used in an SQL Command)に 分類 され、ユーザー から の 入力 値 に 含まれる SQL の 特殊 文字 が 適切 に 無害化 されて いない こと が 原因 です。
SQL インジェクション は Web アプリケーション セキュリティ に おいて 最も 古典的 かつ 危険 な 脆弱性 の 一つ です が、データベース エンジン 自体 に この 種 の 問題 が 存在 する こと は 特に 深刻 です。認証済み の 攻撃者 が ネットワーク を 経由 して 特別 に 細工 された SQL クエリ を 送信 する こと で、本来 の 権限 を 超えた 操作 を 実行 し、権限昇格 を 達成 する 可能性 が あります。
この 脆弱性 は ネットワーク 経由 で 悪用 可能 で あり、攻撃 条件 の 複雑さ は 低い と 評価 されて います。攻撃 に は 低 レベル の 認証 が 必要 です が、ユーザー の 関与 は 不要 です。機密性、完全性、可用性 の 全て に 高い 影響 が ある ため、CVSS スコア は 8.8 と 高く 評価 されて います。
SQL Server を 利用 して いる 環境 で は、速やか に Microsoft が 提供 する セキュリティ 更新 プログラム を 適用 する こと が 推奨 されます。パラメータ化 クエリ の 使用 や ストアド プロシージャ の 入力 検証 を 徹底 する こと も 重要 な 防御策 です。
CVSSベクトル
| 項目 | 値 |
|---|---|
| CVSSスコア | 8.8 |
| 深刻度 | High |
| CWE | CWE-89 (SQLインジェクション) |
| 攻撃元区分 | ネットワーク |
| 攻撃条件の複雑さ | 低 |
| 必要な特権レベル | 低 |
| ユーザー関与 | 不要 |
| 影響の想定範囲 | 変更なし |
| 機密性への影響 | 高 |
| 完全性への影響 | 高 |
| 可用性への影響 | 高 |
影響を受けるソフトウェア
| 製品 | ベンダー | 影響バージョン |
|---|---|---|
| Microsoft SQL Server | Microsoft | 影響を受けるバージョンはMSRCアドバイザリを参照 |
Microsoft SQL Server の 複数 の エディション および バージョン が この 脆弱性 の 影響 を 受ける 可能性 が あります。SQL Server 2019、SQL Server 2022 など の 主要 バージョン に ついて は、MSRC の アドバイザリ で 詳細 な 影響 範囲 を 確認 して ください。Azure SQL Database や SQL Server on Linux 等 の 環境 に ついて も 確認 が 必要 です。
修正バージョンと回避策
- 修正バージョン: Microsoft が 提供 する 最新 の セキュリティ 更新 プログラム(CU)を 適用 して ください
- 暫定回避策: アプリケーション 側 で パラメータ化 クエリ を 徹底 し、SQL Server へ の 直接 的 な SQL 文字列 の 結合 を 排除 する
- 追加対策: SQL Server の ネットワーク 露出 を 最小限 に し、データベース ユーザー の 権限 を 必要 最低限 に 設定 する。SQL Server Audit 機能 を 有効 に して 不審 な クエリ を 監視 する
関連リンク
データソース: NVD (NIST), Microsoft Security Response Center AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。