QR CODE SQL Injection

ほぼこもセキュリティニュース By Terilogy Worx

SQL Injectionというものがあります。
WebサイトやWebアプリケーションの脆弱性を悪用し、不正なSQL文でデータベースを操作し、個人情報の窃取やデータ改ざんなどを行うサイバー攻撃手法です。
これは大きな問題ですが、問題自体が広く知られてきていることもあり、対策も検討や実施が進んでいることと思います。
そんなSQL Injectionなのですが、またひとつの手法が存在することが確認されています。
どんな風に攻撃は成り立つのでしょうか。

  • SQL Injection攻撃内容の準備
    攻撃者はSQL Injection攻撃の内容を準備します。
    ターゲットとなるアプリケーションを想定し、送り込むSQL文を作成します。
  • QRコードの作成
    作成したSQL InjectionのURL文字列をQRコードにします。
  • QRコードの配置
    ターゲットのアプリケーションの利用者が読み取る場所にQRコードを設置します。
    ターゲットとなるアプリケーションによって効果的な配置場所は異なるのかもしれません。
    どこかのWebサイトに配置する、メールで送る、物理的にシールでどこかに張り付ける、いろいろな方法が選べそうです。
  • SQL Injection攻撃の実施
    攻撃者は待つだけです。
    誰かがQRコードを読み取ってそのURLを開いたら、その誰かは被害者となります。
    攻撃の成立です。

実にシンプルです。
これまで実施されてきたSQL Injectionの対策でこの攻撃を防げる場合もあるでしょう。
しかし対策によってはこの経路での攻撃には効果が期待しにくいものもあるのではないでしょうか。

この手法はSQL Injectionのパラダイムシフトとなってしまうのでしょうか。

参考記事(外部リンク):QR CODE SQL Injection
medium.com/@angryovalegg/qr-code-sql-injection-d39797593d94