川口氏は、サーバ管理者に対してWebサーバのアクセスログを確認してSQLインジェクションが行われていないかを確認するとともに、Webアプリケーションの脆弱性診断、IDS/IPSの導入も推奨する。
2007年11〜12月ごろの攻撃
今年3月の攻撃
3月の攻撃では、2つのJavaScriptのいずれかがWebサイトに埋め込まれた。どうやら国内には「fuckjp0.js」が使われた模様
3月19日には新たなサーバが立ち上がった
システム管理者については、攻撃に使われるIPアドレスへのアクセスを遮断するとともに、Proxyやファイアウォールのログをチェックし、過去にアクセスされていないかどうかを調べ、アクセスがあった場合はウイルスチェックや脆弱性検査を行うよう勧めている。
実際に書き換えられたサイトの例
Webアプリケーションの脆弱性でサイトが書き換えられ、個人ユーザーのPCにある脆弱性を使って攻撃をする仕組み。特に今回の攻撃ではRealPlayerと「MS06-014」が特に狙われたそうだ
一般ユーザーについても、Microsoft Updateを行ってOSを最新の状態に保つとともに、PCにインストールされているそのほかのアプリケーションも最新の状態にアップデートする、ウイルス対策ソフトを導入して最新の状態に保つ、という対策を求めている。
サーバ管理者と対策例(※管理者の対策のために攻撃元のドメインとホストのIPアドレスをそのまま掲載している。まだ攻撃は継続しており、これらのサイトへのアクセスは十分に注意が必要)
システム管理者の対策例(※管理者の対策のために攻撃元のドメインとホストのIPアドレスをそのまま掲載している。まだ攻撃は継続しており、これらのサイトへのアクセスは十分に注意が必要)
なお、現時点では24日に再開された攻撃で使われたホストは稼働中で、攻撃自体は終息していない。今後も継続的な注意が必要だ。
