ECサイトを狙うサイバー攻撃の手口 1位は「SQLインジェクション」：EGセキュアソリューションズが2025年4〜6月の攻撃動向を分析

ECサイトからの情報漏えいや個人情報流出といったニュースは後を絶たない。EGセキュアソリューションズの調査によると、2025年4〜6月にかけてECサイトを狙ったサイバー攻撃の手口の1位は「SQLインジェクション」だった。

[＠IT]

　業種や規模を問わず、多くの企業が顧客接点となるWebサイトを構築、運用している。特に、商取引に利用されるECサイトは単なる情報提供の場ではなく、顧客の名前、住所、電話番号、メールアドレスといった情報や、決済情報（クレジットカード情報）を大量に扱っている。

　だが、こうしたECサイトからの情報漏えいや個人情報流出といったニュースは後を絶たない。IPA（情報処理推進機構）が公開している「ECサイト構築・運用セキュリティガイドライン」（PDF）によると、ECサイトのセキュリティ対策を怠ってひとたび事故や被害を発生させてしまった場合、売上高の平均損失額は1社あたり約5700万円、事故対応費用の平均額は1社あたり約2400万円にも上るという。これは企業の信頼失墜だけでなく、ビジネスそのものが立ち行かなくなるリスクがあるといえる。

　では、サイバー攻撃者はECサイトをどう狙っているのか。

「ECサイトは攻撃検出数、攻撃比率ともに最も高い」

　EGセキュアソリューションズが公開した2025年第2四半期（4〜6月）版「SiteGuard セキュリティレポート」によると、2025年第2四半期に観測された攻撃の64.5％が「SQLインジェクション」であり、ECサイトに対する攻撃の内訳別に見ると85％以上を占めたという。攻撃件数は月を追うごとに増加傾向にあり、年4月を基準とすると、6月には1.7倍に増加しているとした。

　EGセキュアソリューションズの直岡克起氏（セキュリティ研究所 所長）は「サイトを8ジャンルに分類して分析した結果、ECサイトが攻撃検出数、攻撃比率ともに最も高く、他ジャンルと比べて多くの攻撃を受けていることが確認できた」と述べている。

　SQLインジェクションは、入力値チェックが不十分な入力フォームに不正なSQLを挿入（Injection）することにより、データベースに保存されたデータを出力させ、盗み出す古典的な攻撃の一つだ。サーバ側で入力値チェックを実施したり、入力値に含まれている特殊文字の除去、無害化処理を追加したりすることで対策は可能だ。IPAも根本的な解決方法をWebサイトで発信している。

　IPAのガイドラインが示すように、ECサイトを顧客接点とするビジネスを展開する多くの企業にとって、他社の被害事例は「人ごと」ではない。SQLインジェクションのような脆弱（ぜいじゃく）性対策の「基本」に取り組むことが重要だ。