脆弱性を攻撃される童話事例集

ケースA 落とした斧の種類を尋ねた際に攻撃を受けた事例

　むかしむかし、ある森のそばに木こりが住んでいました。貧しいくらしをしていましたが、毎日いっしょうけんめい働いていました。

　その日も、木こりは湖のそばで木を切っていました。森のなかには木こりが斧を木に打ち込む、カーンカーンという音が響いていました。

　あとひとふりで木が倒れそうになったところで、木こりは力を込めて斧を振りました。しかしどうしたわけか、斧はすぽんと木こりの手から抜けてしまいました。斧はひゅーんと空を飛び、湖にボチャーンと落ちてしまいました。湖は底が見えないほど深く、斧はすぐに沈んでいってしまいました。

「ああ、どうしよう。斧はあの一本きりしかないのに。あれがなくちゃあ仕事ができなくて、俺は餓え死にしてしまう」

　木こりが頭をかかえていると、湖の水面がだんだん盛り上がってくるではありませんか。木こりがぽかんとそれを見ている間に、水はどんどん高く盛り上がり、ついにはその中から人の形をしたものが現れました。木こりは驚いて声も上げられません。

「怖がらなくてもよいのですよ。私はこの湖の精です。あなたは今、湖に落とし物をされましたね？」

「は、はい」木こりは上ずった声で答えました。

「それは、この斧でしょうか？」

　湖の精が見せたのは、薄暗い森のなかでもぴかぴかと輝く、金でできた斧でした。

「いえ、違います。私が落としたのは、そんな立派な斧ではありません」

「そうですか。では、こちらの斧でしょうか？」

　次に湖の精が見せたのは、やはりまぶしいほどに輝いている、銀でできた斧でした。

「いえ、それでもありません。そんな高価な斧ではありません」

「そうですか。それでは、あなたが落としたのはどんな斧でしょうか？」

「'; DELETE FROM spirits; DELETE FROM waters;--」

　木こりの行ったSQLインジェクションにより、湖の精はすべてspiritsテーブルから削除され、湖の水は干上がりました。木こりは底にあった金銀財宝をすべて窃取しました。被害金額は日本円にして約十五億円でした。

教訓：

SQLを利用する場合はプレースホルダーを使用すること。