 |
 |
記事検索 |
特別企画 |
 |
||
|
||
【 2009/06/11 】 |
||
|
||
|
||
| ||
|
||
|
||
【 2009/06/09 】 |
||
|
||
|
||
| ||
|
||
|
||
【 2009/06/08 】 |
||
|
||
|
||
| ||
|
||
|
||
【 2009/06/04 】 |
||
|
||
|
||
| ||
|
||
|
||
【 2009/06/02 】 |
||
|
||
|
||
| ||
|
||
|
||
【 2009/05/28 】 |
||
|
||
|
||
| ||
|
||
|
||
【 2009/05/26 】 |
||
|
||
|
||
| ||
|
||
|
||
【 2009/05/21 】 |
||
|
||
|
||
| ||
| ||
|
||
|
||
【 2009/05/15 】 |
||
|
||
|
||
| ||
|
||
|
||
【 2009/05/14 】 |
||
|
||
|
||
| ||
|
||
|
||
【 2009/04/16 】 |
||
|
||
|
||
|
|
||||||||
|
||||||||
|
||||||||
|
||||||||
|
||||||||
|
【緊急レポート】 |
||||||||
|
||||||||
|
|
||||||||
|
||||||||
|
||||||||
|
||||||||
|
||||||||
|
||||||||
|
||||||||
|
Internet Explorer(IE)の脆弱性を修正する「MS08-078」が18日未明、マイクロソフトからリリースされた。10月の「MS08-067」に続く今年2度目の定例外の緊急パッチだ。これら脆弱性はいずれも未修正のまま攻撃が始まってしまい、「MS08-078」はサイトを閲覧するだけで、「MS08-067」はネットワークに接続しているだけで不正なコードが実行されるという深刻な状態にあった。 今回修正されたIEの脆弱性は、データベースなどから抽出した生データをページ内に動的に挿入するデータバインド機能に関する問題で、SPANタグの処理で不正なポインタを参照させ、挿入用のデータを実行させるという攻撃が展開されていた。日本IBMの東京のセキュリティー・オペレーション・センター(SOC)では、12月8日以降継続して、この脆弱性を狙った攻撃が検知されているという。 攻撃者は外部からデータベースを不正に操作するSQLインジェクションという手法を使い、既存のWebサイトを改ざん。閲覧者に攻撃サイト上に用意したスクリプトを実行させ、脆弱性攻撃を仕掛けようとする。SQLインジェクションによる改ざんは、今年に入って国内でも多数のWebサイトが被害にあっているが、その誘導先にWindows XP/Windows Server 2003上のIE7を狙うゼロデイ攻撃コードが実装されたのだ。 攻撃サイトは複数用意されており、サイトやスクリプトの内容、構成などが頻繁に入れ替わっているが、攻撃サイトの多くは中国や韓国に置かれており、FlashPlayerやRealPlayerなどの脆弱性突く攻撃を仕掛けてくる。最終的にはゲームのアカウントを盗み取るなどの悪事を働く、トロイの木馬をインストールするのが目的らしい。 IE7用の攻撃コードが組み込まれた当初は、主に中国方面の改ざんサイトに埋め込まれたSCRIPTタグからIE7の攻撃が発動するようになっていたが、15日夕方には日本国内の改ざんサイトから実行されるスクリプトが更新され、IE7の攻撃コードが組み込まれた。当初の攻撃コードよりも少し難読化されたたためか、16日時点のVirusTotalのスキャンでは、ほとんどのウイルス対策ソフトが検出できない状態だった。 日本IBMの「Weekly SOC Report」によると、この時期にも多数のSQLインジェクション攻撃が検知されている。特に16日から17日にかけては多発しており、国内のサイトも次々に改ざん。18日には日本体育協会が、19日には東京都が、改ざんを受けてサイトを閉鎖したことを公表した。 日本体育協会の公式サイトには、いくつかのリンクのURL部分にSCRIPTタグが埋め込まれており、本来のURLにSCRIPTタグが結合した状態になっていた。他に改ざん個所がなければ、リンクが無効になる以外に実害はなかったと思われるが、筆者が改ざんを発見した17日早朝時点では、実行される予定のスクリプトがアクティブな状態にあり、FlashPlayer、RealPlayer 11、SnapShot Viewer、MDACに加え、IE7の脆弱性を狙う攻撃コードもあり、改ざん個所次第では、非常に危険な状況だった。その場で問い合わせフォームから通報し、協会は同日昼までに閉鎖措置をとった。 東京都の「東京都障害者サービス情報」サイトは、公表された19日に検索サイトを使って調査したところ、17日付のキャッシュからSCRIPTタグの埋め込みが見つかった。こちらは表示用のデータ部分に埋め込まれており、筆者が確認したページでは埋め込まれたSCRIPTタグが機能していた。誘導先は日本体育協会と同じサイト。実行されるスクリプトは19日未明のタイムスタンプで更新され、調査時点では無害な状態になっている残骸しか確認できなかったが、ウイルス検知の報告があったとのことなので、こちらは攻撃が成立していた可能性が高い。 いずれも、緊急パッチが提供される直前の出来事。国内のユーザーもゼロデイ攻撃の脅威にさらされていたのだ。 関連情報 ■URL Weekly SOC Report(IBM Internet Security Systems) http://www.isskk.co.jp/SOC_report.html 仕掛けられていたIE7用攻撃コードの12/16時点のスキャン結果(VirusTotal) http://www.virustotal.com/jp/analisis/8d4852833410545556dd4a96ae001623 ■関連記事 ・ 「東京都障害者サービス情報」のページが改ざん、ウイルス感染も(2008/12/19) ・ マイクロソフトの緊急セキュリティ更新「MS08-078」を確認する(2008/12/18) ・ MSが定例外の緊急パッチ「MS08-078」、IEの脆弱性を修正(2008/12/18) ・ マイクロソフト、IEの脆弱性修正パッチを18日に緊急公開(2008/12/17) ・ IE7の脆弱性を狙ったゼロデイ攻撃に対応する(2008/12/15) ・ IEの脆弱性は全バージョンに影響、MSがアドバイザリを更新(2008/12/12) ・ IE7にパッチ未提供の脆弱性、MSがセキュリティアドバイザリを公開(2008/12/11)
( 鈴木直美 )
- ページの先頭へ-
|