ZDNet Japan Brand Site:
ZDNet Japan
builder

「正規サイトの改ざん」という悪夢--ラックが解説

トレンドマイクロのWebページが改ざんされるなど、3月に入ってから正規サイトが改ざんされる事例が発生している。この攻撃で使われた手法はSQLインジェクションだが、サーバの情報を盗むのではなく個人情報を盗もうとしている点が新しいとラックは解説する。

小山安博  2008年3月27日 20時15分

 3月に入ってから国内のWebサイトが改ざんされる事例が発生した件に関して、セキュリティベンダーのラックは3月27日、その分析結果を報道機関向けに解説した。今回の攻撃は、SQLインジェクションと呼ばれる攻撃手法が使われており、Webサーバの情報を狙うのではなく、サイトにアクセスした一般ユーザーのPCに入っている情報を盗むことなどを目的としているのが特徴だ。

「正規サイトの改ざん」という事態

セキュリティ事業本部JSOC事業部のチーフエバンジェリスト・川口洋氏 セキュリティ事業本部JSOC事業部のチーフエバンジェリスト・川口洋氏

 ラックのセキュリティ事業本部JSOC事業部のチーフエバンジェリスト・川口洋氏によれば、今回の一連の攻撃は昨年11〜12月ごろにかけて最初に観測されたという。

 SQLインジェクションの攻撃手法自体は、2005年ごろから話題となっており、2007年にはラックが観測している約400社のIDS/IPS、ファイアウォールのセンサー760センサーだけで4万件近い攻撃が行われた。この攻撃の問題点は、危険なサイトではなく、普段訪れているようなサイトが書き換えによって危険なサイトになってしまう、という点だ。こうした攻撃はWebアプリケーションの脆弱性を突いて行われるが、昨年11月から新たな攻撃手法が使われているという。

 今回の一連の攻撃は、11月ごろから始まり、12月にいったん終息。今年3月に入って再び攻撃が始まっている。3月には2〜8日、11〜13日、そして24日からと3回にわたって攻撃が行われており、11月から3月13日までは同一のIPアドレス、24日からは異なるIPアドレスから攻撃が確認された。いずれも中国のIPアドレスだった。

 従来のSQLインジェクションだと、Webサーバに侵入してサイトを書き換えたり、ファイル置き場にしようという攻撃が多かったが、2005年ごろからはWebアプリケーションの裏側にあるデータベースに侵入して個人情報などを盗もうとする攻撃が増加。現在でも「99.99%」(川口氏)がこうした攻撃だが、昨年ごろからWebサイトを書き換えて不正なスクリプトを埋め込み、一般ユーザーにマルウェアを送り込んで情報を盗むことなどを目的とした新たな攻撃が出現しているのだという。

同社が検知したSQLインジェクション攻撃の検知傾向 同社が検知したSQLインジェクション攻撃の検知傾向
これまでの攻撃に対して、今回の攻撃は個人ユーザーの情報を盗もうというのが新しい これまでの攻撃に対して、今回の攻撃は個人ユーザーの情報を盗もうというのが新しい

 今回の攻撃もそうした一般ユーザーを狙った攻撃で、マイクロソフトのIISとMicrosoft SQL Serverを使うサーバを対象にしている。とはいえ、IIS+MS SQLが危険なのではなく、その上で動作しているWebアプリケーションの脆弱性を狙っている点に注意が必要だ。あくまでWebアプリケーションの脆弱性が今回の問題だ。

攻撃の流れ 攻撃の流れ

 これらの攻撃は、特に個人ユーザーを狙ったという意味で新しい攻撃だという。

キーショートカット:  b - 前のページ n - 次のページ

関連情報

「セキュリティ」 のバックナンバー

http://japan.zdnet.com/news/sec/story/0,2000056194,20370303,00.htm
「正規サイトの改ざん」という悪夢--ラックが解説

ZDNet Japan Essential Topic

ZDNet Japanからのお知らせ

Intel Video Series

sponsored by Intel

ZDNet Japan ニューズレター

企業情報システムの選択、導入、運用管理に役立つ情報を毎朝メール配信します。

ニューズレターの登録・登録情報変更 »