|
ラックのセキュリティアナリストを務める川口洋氏
|
ラックは27日、3月11日~13日に発生した大規模なWebページ改竄攻撃について、これまでの調査に関する説明会を開催した。
この攻撃は、WebページをSQLインジェクションと呼ばれる手法により改竄し、ページの閲覧者にウイルスをダウンロードさせようとするコードを埋め込むというもの。日本を中心として多くのサイトが被害にあっており、トレンドマイクロや@niftyなどもこの被害に遭ったと見られている。
ラックのセキュリティアナリストを務める川口洋氏は、2007年11月と12月にも今回と同様の攻撃により世界各国で被害があり、その攻撃手法を改良してきたものと思われると分析。今回の攻撃も含めていずれも中国のIPアドレスが攻撃元となっているという。
ラックでは、3月2日~8日にかけて特定のサイトを狙った攻撃を確認していたが、3月11日から攻撃が急増して日本のサイトにも被害が見られたため、3月12日に顧客に対して注意喚起を配信。改竄の手口や、埋め込まれたコードやウイルスの調査を実施したという。3月13日には攻撃元のホストが停止し、ユーザーが誘導されるWebサイト(www.2117966.net)も停止したため、いったん攻撃は収まったことが確認された。
しかし、3月19日には、www.2117966.netのDNS情報が変更され、Webサーバーが再開。3月21日にはウイルスに感染させようとするスクリプトもアクセス可能となったという。3月24日には限定的な攻撃が確認されており、再び大規模な攻撃が行なわれる可能性があるとして、注意を呼びかけている。
|
|
ラックが検知したSQLインジェクション攻撃の件数の推移
|
今回の攻撃の概要。Webページを改竄し、そのページの閲覧者にウイルスなどをダウンロードさせる
|
|
|
3月19日には、攻撃に用いられていたWebサーバーが再開
|
3月24日には限定的な攻撃も再開。悪意のあるスクリプトもアクセス可能に
|
今回の攻撃に用いられているのは、WebサーバーへのリクエストにSQL文を埋め込み、データベースを改竄する「SQLインジェクション」と呼ばれる手法だ。攻撃の標的となっているのは、マイクロソフトのWebサーバーとデータベース(Microsoft IISおよびMicrosoft SQL Server)だが、Webサーバーやデータベース自身の脆弱性ではなく、その上で動作するWebアプリケーションのプログラムミスが狙われている。
改竄によってWebページに埋め込まれたスクリプトは、RealPlayerやWindowsの脆弱性など、これまでに知られている脆弱性を悪用して、Webページの閲覧者のPCに対してウイルスなどを感染させようとする。これにより、感染者の個人情報などを入手するのが、攻撃者の目的と見られている。
川口氏はこうした攻撃手法について、「過去に流通した攻撃コードやウイルスを配布するサーバーなどを流用しており、攻撃用のプログラムを少しずつ改造しながら攻撃していると見られる」と分析。また、こうした攻撃用のプログラムが金銭で取り引きされるというケースもあるようだとした。
攻撃は日本以外のサーバーに対しても行なわれているが、ラックの顧客企業の中では「過去に攻撃の被害に遭った企業」は特に大量の攻撃を受ける傾向があるという。こうしたことから川口氏は、「過去に攻撃が成功したサーバーのリスト」のようなものが出回っているのではないかと推測している。
対策としては、一般ユーザーに対しては、OSやアプリケーションを最新版にするともに、ウイルス対策ソフトの定義ファイルを最新版にするなど、一般的な対策を徹底するよう呼びかけている。
また、サーバー管理者に対してはまずWebサーバーのアクセスログを調査することを勧めている。ラックでも無料のチェックソフトを配布しており、まずはこうしたソフトでSQLインジェクションの形跡が無いかを調べ、攻撃の痕跡があった場合には、データベースの中に今回の攻撃で用いられた「www.2117966.net」といった文字列が含まれていないかを確認してほしいとしている。また、今後に備えては、Webアプリケーションの脆弱性診断サービスや、Webサーバーへの攻撃を検知する製品の導入などを検討してほしいとした。
|
|
攻撃に用いられたリクエスト。一般的なSQLインジェクションの手口だが、コードを16進数に変換するなどの手法が用いられている
|
16進数の部分をデコードした内容。文字列型のテーブルに手当たり次第にURLを挿入していく
|
関連情報
■URL
ニュースリリース
http://www.lac.co.jp/news/press20080312.html
■関連記事
・ 日本をターゲットにしたSQLインジェクション攻撃が多発、ラックが警告(2008/03/13)
・ トレンドマイクロのウイルス情報ページ、改竄されたのは9日21時頃から(2008/03/13)
・ トレンドマイクロのウイルス情報ページが改竄、ウイルスを埋め込まれる(2008/03/12)
・ @niftyでもウイルス仕込まれる、ヨン様主演ドラマの公式サイトなど改竄(2008/03/18)
( 三柳英樹 )
2008/03/27 15:42
- ページの先頭へ-
|