Internet Watch logo
記事検索
最新ニュース
レゴ、小学生向けプログラミング教材「WeDo 2.0」発売
[2016/01/29]
マクロウイルスを知らない世代の社員が狙われる? 「Office文書を開いて感染」攻撃が再び増加
[2016/01/29]
新gTLD「.shop」、49億円でGMOが落札、AmazonやGoogleなどに競り勝つ
[2016/01/29]
Windows SQL Server 2005サポート終了の4月12日が迫る、報告済み脆弱性の深刻度も高く、早急な移行を
[2016/01/29]
インストール不要の非常駐型セキュリティソフト「Dr.Web CureIt!」、日本語版を無料で提供
[2016/01/29]
筆まめ、中小事業者向け顧客管理ソフト「筆まめ顧客管理 Windows版」発売
[2016/01/29]
大日本印刷が「サイバーナレッジアカデミー」設立、IAIの訓練システムでセキュリティ技術者を養成
[2016/01/29]
「インターネット白書2016」発売、20周年記念の特別版
[2016/01/29]
NEC、中小規模事業者向けセキュリティアプライアンス「Aterm SA3500G」を発売
[2016/01/29]
Synology、2ベイNASのハイエンドモデル「DS216+」、暗号化データも上下100MB/秒以上で高速転送
[2016/01/29]
公安9課が情報流出の危険性を解き明かす、「攻殻機動隊 S.A.C.」の描き下ろしPDFコミック「HUMAN-ERROR TRAPS」無償公開
[2016/01/29]
Google Playに「マンガストア」オープン、ジャンプコミックスも配信開始
[2016/01/28]
BIGLOBE、電力とインターネットのセットプラン、中部電力の首都圏エリア展開に合わせ
[2016/01/28]
ウェブブラウザーのプライベートブラウジング機能、認知していた人は23.1%
[2016/01/28]
LINE、違う電話番号のスマホから一方的にアカウント移管操作を行えないよう仕様変更
[2016/01/28]
LINEのiPhone版アプリがiPadにも対応、「LINE for iPad」より多機能、大画面で音声・ビデオ通話が可能に
[2016/01/28]
Microsoft、Officeと他社クラウドストレージとの連携を強化
[2016/01/28]
Googleのディープラーニングシステムによって、人工知能が初めて囲碁のプロ棋士に勝利
[2016/01/28]
ソラコム、IoTプラットフォーム「SORACOM」と既存システムを専用線でつなぐサービスや認証機能など提供開始
[2016/01/28]
Google「Chrome 48」iOS版ではクラッシュ率70%低下、JavaScript実行速度も大幅改善
[2016/01/28]

Web改竄の攻撃が再開の兆し、十分な警戒を~ラック川口氏


ラックのセキュリティアナリストを務める川口洋氏
 ラックは27日、3月11日~13日に発生した大規模なWebページ改竄攻撃について、これまでの調査に関する説明会を開催した。

 この攻撃は、WebページをSQLインジェクションと呼ばれる手法により改竄し、ページの閲覧者にウイルスをダウンロードさせようとするコードを埋め込むというもの。日本を中心として多くのサイトが被害にあっており、トレンドマイクロや@niftyなどもこの被害に遭ったと見られている。

 ラックのセキュリティアナリストを務める川口洋氏は、2007年11月と12月にも今回と同様の攻撃により世界各国で被害があり、その攻撃手法を改良してきたものと思われると分析。今回の攻撃も含めていずれも中国のIPアドレスが攻撃元となっているという。

 ラックでは、3月2日~8日にかけて特定のサイトを狙った攻撃を確認していたが、3月11日から攻撃が急増して日本のサイトにも被害が見られたため、3月12日に顧客に対して注意喚起を配信。改竄の手口や、埋め込まれたコードやウイルスの調査を実施したという。3月13日には攻撃元のホストが停止し、ユーザーが誘導されるWebサイト(www.2117966.net)も停止したため、いったん攻撃は収まったことが確認された。

 しかし、3月19日には、www.2117966.netのDNS情報が変更され、Webサーバーが再開。3月21日にはウイルスに感染させようとするスクリプトもアクセス可能となったという。3月24日には限定的な攻撃が確認されており、再び大規模な攻撃が行なわれる可能性があるとして、注意を呼びかけている。


ラックが検知したSQLインジェクション攻撃の件数の推移 今回の攻撃の概要。Webページを改竄し、そのページの閲覧者にウイルスなどをダウンロードさせる

3月19日には、攻撃に用いられていたWebサーバーが再開 3月24日には限定的な攻撃も再開。悪意のあるスクリプトもアクセス可能に

 今回の攻撃に用いられているのは、WebサーバーへのリクエストにSQL文を埋め込み、データベースを改竄する「SQLインジェクション」と呼ばれる手法だ。攻撃の標的となっているのは、マイクロソフトのWebサーバーとデータベース(Microsoft IISおよびMicrosoft SQL Server)だが、Webサーバーやデータベース自身の脆弱性ではなく、その上で動作するWebアプリケーションのプログラムミスが狙われている。

 改竄によってWebページに埋め込まれたスクリプトは、RealPlayerやWindowsの脆弱性など、これまでに知られている脆弱性を悪用して、Webページの閲覧者のPCに対してウイルスなどを感染させようとする。これにより、感染者の個人情報などを入手するのが、攻撃者の目的と見られている。

 川口氏はこうした攻撃手法について、「過去に流通した攻撃コードやウイルスを配布するサーバーなどを流用しており、攻撃用のプログラムを少しずつ改造しながら攻撃していると見られる」と分析。また、こうした攻撃用のプログラムが金銭で取り引きされるというケースもあるようだとした。

 攻撃は日本以外のサーバーに対しても行なわれているが、ラックの顧客企業の中では「過去に攻撃の被害に遭った企業」は特に大量の攻撃を受ける傾向があるという。こうしたことから川口氏は、「過去に攻撃が成功したサーバーのリスト」のようなものが出回っているのではないかと推測している。

 対策としては、一般ユーザーに対しては、OSやアプリケーションを最新版にするともに、ウイルス対策ソフトの定義ファイルを最新版にするなど、一般的な対策を徹底するよう呼びかけている。

 また、サーバー管理者に対してはまずWebサーバーのアクセスログを調査することを勧めている。ラックでも無料のチェックソフトを配布しており、まずはこうしたソフトでSQLインジェクションの形跡が無いかを調べ、攻撃の痕跡があった場合には、データベースの中に今回の攻撃で用いられた「www.2117966.net」といった文字列が含まれていないかを確認してほしいとしている。また、今後に備えては、Webアプリケーションの脆弱性診断サービスや、Webサーバーへの攻撃を検知する製品の導入などを検討してほしいとした。


攻撃に用いられたリクエスト。一般的なSQLインジェクションの手口だが、コードを16進数に変換するなどの手法が用いられている 16進数の部分をデコードした内容。文字列型のテーブルに手当たり次第にURLを挿入していく
関連情報

URL
  ニュースリリース
  http://www.lac.co.jp/news/press20080312.html

関連記事
日本をターゲットにしたSQLインジェクション攻撃が多発、ラックが警告(2008/03/13)
トレンドマイクロのウイルス情報ページ、改竄されたのは9日21時頃から(2008/03/13)
トレンドマイクロのウイルス情報ページが改竄、ウイルスを埋め込まれる(2008/03/12)
@niftyでもウイルス仕込まれる、ヨン様主演ドラマの公式サイトなど改竄(2008/03/18)


( 三柳英樹 )
2008/03/27 15:42

- ページの先頭へ-

INTERNET Watch ホームページ
Copyright (c) 2008 Impress Watch Corporation, an Impress Group company. All rights reserved.