Internet Watch logo
記事検索
バックナンバー
【 2008/10/08 】
第30回:パスワードのセキュリティ
[11:18]
【 2008/09/24 】
第29回:USBメモリのセキュリティ
[12:31]
【 2008/09/17 】
第28回:メール編(17)迷惑メールをめぐる法改正
[12:51]
【 2008/09/03 】
第27回:メール編(16)迷惑メールを無視する(下)
[15:11]
【 2008/08/27 】
第26回:メール編(15)迷惑メールを無視する(上)
[11:37]
【 2008/07/30 】
第25回:メール編(14)迷惑メールを回避する
[11:51]
【 2008/07/23 】
第24回:メール編(13)迷惑メールに潜む罠(下)
[11:25]
【 2008/07/16 】
第23回:メール編(12)迷惑メールに潜む罠(中)
[11:18]
【 2008/07/09 】
第22回:メール編(11)迷惑メールに潜む罠(上)
[11:18]
【 2008/07/02 】
第21回:メール編(10)迷惑メールが来るキッカケ(下)
[11:23]
【 2008/06/25 】
第20回:メール編(9)迷惑メールが来るキッカケ(上)
[16:01]
【 2008/06/18 】
第19回:メール編(8)「迷惑メール」が氾濫する理由
[11:15]
あなたの身近なセキュリティ

第10回:WWW編(8)ラックが語るWeb大量改竄の現実


JSOCチーフエバンジェリストセキュリティアナリストの川口洋氏
 ラックは3月27日に記者会見を開き、3月12日に発生したSQLインジェクションによるWebサーバーの大量改竄事件についての説明を行なった。WWW編ではすでに「一般的に信頼されているサイトでも安心できない」という話をしているが、今回はそれをもう一歩具体的にした話になる。

 以下は、ラックが運営するセキュリティー監視センター「JSOC(Japan Security Operation Center)」でチーフエバンジェリストセキュリティアナリストを務める川口洋氏の説明に加えて、筆者が取得した検体を見た結果も含めている。


ホストサーバーは中国、攻撃そのものも最終的には中国のIPから

SQLインジェクションによる攻撃は、2年ほど前からシステムの侵入手段からデータ詐取へと移行しているという。今回はサーバーデータからユーザーデータへとターゲットを変えたというわけだ
 ラックによれば、この一連の攻撃は2007年の11月と12月にあった攻撃と関連性があるとしている。11月には中国のIPアドレスから攻撃があり「http://yl18.net/」に転送され、12月は同じく中国のIPアドレスから攻撃があり「http://rnmb.net/」に転送される攻撃があった。

 今回も中国のIPアドレスから攻撃があり「http://www.2117966.net/」へ転送されるものであった。また、ラックのセンサーには3月冒頭に2007年と同じIPアドレスからの攻撃があったという。

 この3回の攻撃に使われたコードや利用しているサーバー群には類似性が見られており、ラックは同一グループが関わっていると判断している。攻撃を行なったのは中国のIPアドレスだが、これが中国そのものから攻撃されたのか、そのIPアドレスを踏み台にして行なったかについては不明だという。


SQLインジェクションで埋め込まれた攻撃コード

 攻撃の流れはSQLインジェクションという手法で、Webサーバーを経由してデータベースを書き換える。今回の事例では、「fuckjp.js」というスクリプトコードをデータベースに入れる指示を行なう。

 「fuckjp.js」というスクリプトコードの名称から判断すると、日本を狙い打ちにしているようにも見える。しかし、実際には世界中のサーバーを荒らしているようで、あまり関係ないようだ。また、「fuckjp0.js」を埋め込まれたサイトもあるとラックでは判定しているが、「そのほかにもあるかもしれない」と川口氏は発言している。

 今回の騒動でSQLインジェクションによるWeb改竄被害を受けたトレンドマイクロは、「JS_AGENT.OEZ」というシグネチャを出しており、詳細を見ると「http://www.<省略>17966.net/fuckjp.js」や「http://www.<省略>17966.net/q.htm」をロードすると書かれている。これは川口氏の発言と異なる「q.htm」が含まれており、複数の亜種を用意していたか、時間やアクセス状況で攻撃方法を変えていたことを伺わせる。


SQLインジェクション攻撃の流れ。正規サイトに誘導コードを入れるだけで、悪意のあるサーバーへ誘導する。この際、新しいウィンドウ等は開かない 3月11日から13日の攻撃の流れでは、2つのコードによって誘導されていた

筆者が捕獲したコードの一部。複数の脆弱性を狙っていることがわかる。なお、GIFファイルをダウンロードしているように見えるが、実際にはスクプトとして処理される
 なお、その後の3月24日にも改竄攻撃が行なわれた。この際、同じ「www.2117966.net」というドメインを使っていたものの、攻撃前にサーバーIPアドレスが変更されており、別のISPがホスティングしている。川口氏は、新サーバーで配布されるfuckjp.jsはロードのたびに変わるという説明を行なったが、筆者が確認した範囲では変化がなかった。

 筆者が見た範囲では、埋め込まれたfuckjp.jsは2つのファイルをロードするようになっており、片方がマルウェアをダウンロードさせるようだ。筆者が得たファイルを見ると、8種類のプログラムの脆弱性を使ってダウンローダーを実行させているように見える。ラックによれば、総計13種類のプログラムの脆弱性を使っていることを確認しているという。

 ここで興味深いのは、日本ではなじみのないプログラムの脆弱性も狙われていることで、この点からも日本だけをターゲットにしていないことが想像できる。

 ここから先に関しては解析は難しい。というのもダウンローダーが何をダウンロードするかは、ダウンロードサーバー側で自由に変えられるからだ。また、以前説明したのと同様に、今回もマルウェア本体をダウンロードするサーバーは複雑怪奇な接続になっており、ラックも十分な解析ができていないという。

 エンドユーザーにとって重要なのは、「従来安全と思われていた『信頼できそうなサイト』のアクセスだけでも不正プログラムを実行させる素因があること」と「その脅威が現実のものになっていること」の2点だ。


fuckjpというコード名から日本を狙い打ちにしたと思われているが、コードを埋め込まれたページの数は日本よりも世界の方が多い。一方fuckjp0の方は日本が中心のようだ ラックが分析した「侵入に使われていた脆弱性の一覧」。「Xunlei Thunder Dap Player」以下は、川口氏も「はじめてみたソフトが多い」と発言するほど日本ではマイナーな存在としている

一番の対策は「脆弱性を残さない」こと

一般利用者は、Windows UpdateなどでPC内のアプリケーションの脆弱性をできるだけふさぐ必要がある
 エンドユーザーがこれらの問題に巻き込まれないためにはどうすればよいだろうか。

 最も重要なのは、「わかっている穴(セキュリティホール)を残さないこと」。具体的には、インストールしているプログラムを最新版に保つことだ。Windows Updateだけでなく、サードパーティプログラムなども定期的にパッチを当てるのがよい。

 例えば、毎月第2水曜日にマイクロソフトが月例修正パッチを公開するのにあわせて、サードパーディプログラムの更新を巡回する習慣をつけるのが適切だろう。また、当面使わないアプリケーションのメンテナンスは面倒くさく放置しがちなので、これはアンインストールするのがベターだ。

 これらの対策をした上で、適切なアンチウイルスソフトや統合セキュリティソフトを入れればなおよい。もちろん、これも最新版である必要があり、ライセンス有効期限が切れていれば、インストールしていないのと同義だ。さらに信頼できるニュースサイトを閲覧して攻撃情報を把握していれば、あなたのマシンがマルウェアに侵入される恐れを可能な限り下げることができるだろう。


先週の気になったニュース(3/24~3/30)

「Safari」Windows版にパッチ未提供の脆弱性、アドレスバー偽装など2件
http://internet.watch.impress.co.jp/cda/news/2008/03/25/18928.html
http://john.jubjubs.net/2008/03/21/apple-software-update/
http://www.news.com/8301-10784_3-9900456-7.html?tag=nefd.top
 「Safariを使っていないから関係ない」という人もいるだろうが、iTunesをインストールしているとApple Software UpdateがSafariを「新規インストール」させようとするという指摘もあるので、注意したい。

「Firefox 2.0.0.13」リリース、脆弱性6件を修正
http://internet.watch.impress.co.jp/cda/news/2008/03/26/18943.html
 このうち2件は、最重要な修正だ。Firefoxは、差分アップデートが可能なのですぐに実行したい。

ニフティがスパムブログの判別技術を開発、国内記事の約4割がスパム
http://internet.watch.impress.co.jp/cda/news/2008/03/26/18946.html
 あくまで「分析対象の4割」である点に注意したい。ニフティが提供するブログサービス「ココログ」ならば分析も容易だと思うのだが、これの何割がスパムブログなのか気になるところだ。

チベット支援者を狙うナゾの攻撃
http://www.f-secure.com/weblog/archives/00001406.html
 世の中には自作自演も、裏をかくこともあるから、実際のところはわからない。


「ブログの引っ越し」を騙るフィッシング、livedoor Blogが注意喚起
http://internet.watch.impress.co.jp/cda/news/2008/03/26/18961.html
 他社のブログ引越しを可能にするサービスも存在しているが、これもユーザー名とパスワードを入力させる。この手のサービスを使う場合、「本当に問題ないかどうか」を確認した方がよいのだが……。

ユーザー登録スペースに広告……8月から発売開始
http://www.septeni-holdings.co.jp/admin/ir/files/07_1031_adlead080325.pdf
 ユーザーに選択させるというが、現在でも初期状態でチェックの入ったオプトイン広告が多いので、紛らわしい表記で誘導させるのではないかと不安がある。ユーザー登録には注意したほうがよさそうだ。

PDFファイルに脆弱性と実際の攻撃例が発見される
http://www.sophos.com/security/blog/2008/03/1221.html
 実際にターゲット攻撃として使われたという。

イー・モバイル爆破予告容疑 ネット書き込みの高1逮捕
 「お前らニュースぐらい見ろ」という感じ。本人は冗談で書いても、ネットに書いたらそれは冗談ですまなくなる。



2008/04/02 12:13
小林哲雄
中学合格で気を許して「マイコン」にのめりこんだのが人生の転機となり早ン十年のパソコン専業ライター。主にハードウェア全般が守備範囲だが、インターネットもWindows 3.1と黎明期から使っており、最近は「身近なセキュリティ」をテーマのひとつとしている。

- ページの先頭へ-

INTERNET Watch ホームページ
Copyright (c) 2008 Impress Watch Corporation, an Impress Group company. All rights reserved.