3月に入ってから国内のWebサイトが改ざんされる事例が発生した件に関して、セキュリティベンダーのラックは3月27日、その分析結果を報道機関向けに解説した。今回の攻撃は、SQLインジェクションと呼ばれる攻撃手法が使われており、Webサーバの情報を狙うのではなく、サイトにアクセスした一般ユーザーのPCに入っている情報を盗むことなどを目的としているのが特徴だ。

「正規サイトの改ざん」という事態

セキュリティ事業本部JSOC事業部のチーフエバンジェリスト・川口洋氏

　ラックのセキュリティ事業本部JSOC事業部のチーフエバンジェリスト・川口洋氏によれば、今回の一連の攻撃は昨年11〜12月ごろにかけて最初に観測されたという。

　SQLインジェクションの攻撃手法自体は、2005年ごろから話題となっており、2007年にはラックが観測している約400社のIDS/IPS、ファイアウォールのセンサー760センサーだけで4万件近い攻撃が行われた。この攻撃の問題点は、危険なサイトではなく、普段訪れているようなサイトが書き換えによって危険なサイトになってしまう、という点だ。こうした攻撃はWebアプリケーションの脆弱性を突いて行われるが、昨年11月から新たな攻撃手法が使われているという。

　今回の一連の攻撃は、11月ごろから始まり、12月にいったん終息。今年3月に入って再び攻撃が始まっている。3月には2〜8日、11〜13日、そして24日からと3回にわたって攻撃が行われており、11月から3月13日までは同一のIPアドレス、24日からは異なるIPアドレスから攻撃が確認された。いずれも中国のIPアドレスだった。

　従来のSQLインジェクションだと、Webサーバに侵入してサイトを書き換えたり、ファイル置き場にしようという攻撃が多かったが、2005年ごろからはWebアプリケーションの裏側にあるデータベースに侵入して個人情報などを盗もうとする攻撃が増加。現在でも「99.99％」（川口氏）がこうした攻撃だが、昨年ごろからWebサイトを書き換えて不正なスクリプトを埋め込み、一般ユーザーにマルウェアを送り込んで情報を盗むことなどを目的とした新たな攻撃が出現しているのだという。

同社が検知したSQLインジェクション攻撃の検知傾向

これまでの攻撃に対して、今回の攻撃は個人ユーザーの情報を盗もうというのが新しい

　今回の攻撃もそうした一般ユーザーを狙った攻撃で、マイクロソフトのIISとMicrosoft SQL Serverを使うサーバを対象にしている。とはいえ、IIS＋MS SQLが危険なのではなく、その上で動作しているWebアプリケーションの脆弱性を狙っている点に注意が必要だ。あくまでWebアプリケーションの脆弱性が今回の問題だ。

攻撃の流れ

　これらの攻撃は、特に個人ユーザーを狙ったという意味で新しい攻撃だという。