「正規サイトの改ざん」という悪夢--ラックが解説
3月に入ってから国内のWebサイトが改ざんされる事例が発生した件に関して、セキュリティベンダーのラックは3月27日、その分析結果を報道機関向けに解説した。今回の攻撃は、SQLインジェクションと呼ばれる攻撃手法が使われており、Webサーバの情報を狙うのではなく、サイトにアクセスした一般ユーザーのPCに入っている情報を盗むことなどを目的としているのが特徴だ。
「正規サイトの改ざん」という事態
セキュリティ事業本部JSOC事業部のチーフエバンジェリスト・川口洋氏
ラックのセキュリティ事業本部JSOC事業部のチーフエバンジェリスト・川口洋氏によれば、今回の一連の攻撃は昨年11〜12月ごろにかけて最初に観測されたという。
SQLインジェクションの攻撃手法自体は、2005年ごろから話題となっており、2007年にはラックが観測している約400社のIDS/IPS、ファイアウォールのセンサー760センサーだけで4万件近い攻撃が行われた。この攻撃の問題点は、危険なサイトではなく、普段訪れているようなサイトが書き換えによって危険なサイトになってしまう、という点だ。こうした攻撃はWebアプリケーションの脆弱性を突いて行われるが、昨年11月から新たな攻撃手法が使われているという。
今回の一連の攻撃は、11月ごろから始まり、12月にいったん終息。今年3月に入って再び攻撃が始まっている。3月には2〜8日、11〜13日、そして24日からと3回にわたって攻撃が行われており、11月から3月13日までは同一のIPアドレス、24日からは異なるIPアドレスから攻撃が確認された。いずれも中国のIPアドレスだった。
従来のSQLインジェクションだと、Webサーバに侵入してサイトを書き換えたり、ファイル置き場にしようという攻撃が多かったが、2005年ごろからはWebアプリケーションの裏側にあるデータベースに侵入して個人情報などを盗もうとする攻撃が増加。現在でも「99.99%」(川口氏)がこうした攻撃だが、昨年ごろからWebサイトを書き換えて不正なスクリプトを埋め込み、一般ユーザーにマルウェアを送り込んで情報を盗むことなどを目的とした新たな攻撃が出現しているのだという。
同社が検知したSQLインジェクション攻撃の検知傾向
これまでの攻撃に対して、今回の攻撃は個人ユーザーの情報を盗もうというのが新しい
今回の攻撃もそうした一般ユーザーを狙った攻撃で、マイクロソフトのIISとMicrosoft SQL Serverを使うサーバを対象にしている。とはいえ、IIS+MS SQLが危険なのではなく、その上で動作しているWebアプリケーションの脆弱性を狙っている点に注意が必要だ。あくまでWebアプリケーションの脆弱性が今回の問題だ。
攻撃の流れ
これらの攻撃は、特に個人ユーザーを狙ったという意味で新しい攻撃だという。
セキュリティパスポート
[PR]
NECソフト
「ヒヤヒヤする男のためのソリューションサイト」
ITの本来の目的であるビジネスコミュニケーションの活性化と
高い安全性を両立できる「コミュニケーションセキュリティ」とは
- この記事を読み解くキーワード:
- セキュリティ情報
- ネットワークセキュリティ
- ウイルス
ZDNet用語検索
企業情報
キーワード
関連ホワイトペーパー
-
【データシート】比類なきスケーラビリティとセキュリティを兼ね備えたセキュリティ・アプライアンス 【株式会社アズジェント】
-
製品カタログ「Sidewinder UTMアプライアンス」 【セキュアコンピューティングジャパン株式会社】
-
UTMアプライアンス Juniper Networks SSGシリーズ 製品カタログ 【株式会社日立システムアンドサービス】
-
Reflection for Secure IT―SSH 適用事例 3― 【サイバネットシステム株式会社】
-
低価格、短納期でSSL VPNのアクセス認証を強化!
「Cybertrust Shared PKI for SSL VPN(データシート)」
【サイバートラスト株式会社】
関連製品
- Toriton,IncSSL
世界標準規格の世界規格X.509デジタル証明書CLASS3 SSL証明書です。 存在認証を行い発行される信頼のSSLサーバ証明書 個人・SOHO〜企業・官庁まで、実在確認できる方ならサーバ証明書の発行が可能です。
【トリトン】 - NetWyvernDHCP
DHCP専用アプライアンスサーバ。
【インフィニコ】 - マトリックススキャン APEX
「次世代のメールセキュリティソリューション」 新しい日本の技術と世界基準の技術を融合したアンチスパムアプライアンアスサーバー
【アイマトリックス】
関連イベント
- 認定講師による CISSP 公式セミナー体験コース 【株式会社ラック】
- 第3回 ラックセキュリティアカデミー『事業継続を困難にするサイバーリスクにどう向き合うか』 【株式会社ラック】
- 認定講師による CISSP 公式セミナー体験コース 【株式会社ラック】
- 『情報漏えいリスクコントロールセミナー』 〜 「禁止」ではなく「抑止」でクライアント経由の漏えいリスクを低減 〜 【株式会社ラック】
- Keep CISSP!ラック セキュリティアカデミー「第2回 全容解明 〜ネットワークに存在する脅威の現況〜」 【株式会社ラック】
セキュリティ トピックス
世界標準の情報セキュリティプロフェッショナル認定資格「CISSP」って何?
このビデオでは、ネットワークセキュリティプロフェッショナル認定資格のひとつである「CISSP」の概要について、ラックの与儀大輔氏が解説する。 2008/05/09 15:20 【AT THE WHITEBOARD】
マイクロソフトが3件の緊急のセキュリティ情報について事前通知、うち2件はOffice関連
マイクロソフトは、米国時間5月13日に予定されている5月の月例パッチに関する事前通知を発表した。今回は深刻度が緊急の脆弱性3件と、警告の脆弱性1件に対し修正が行われる。 2008/05/09 06:28 【Zero Day】
ホワイトペーパー
【大手通信事業会社の大規模監視システム採用】の経験を元に開発したROIの高いOSS製品です!
製品カタログ「Sidewinder UTMアプライアンス」
【導入事例】-沖縄国際大学様 スパムメール対策としてIronPortを導入。導入して分かったIronPortの良さ3点
イベント
- 株式会社大塚商会 : 失敗しない!! 最新デザイン環境構築セミナー 〜新しい環境への移行は色々と不安…そんな悩みを解決します〜・2008年05月09日
- 株式会社JMCリスクマネジメント : ISO27001内部監査員育成コース 〜監査の基礎知識とチェックポイント〜・2008年05月13日
- 株式会社スカイアーチネットワークス : 第5回 情報セキュリティEXPO・2008年05月14日
- ネットセンチュリー株式会社 : 『J-SOX 内部統制 評価・運用セミナー』・2008年05月15日
- 株式会社JMCリスクマネジメント : マネジメントシステム入門・2008年05月15日
- 株式会社JMCリスクマネジメント : プライバシーマーク移行ダッシュ・2008年05月16日
- 株式会社JMCリスクマネジメント : プライバシーマーク構築コース 〜自力取得に向けた構築手法の理解〜・2008年05月20日
- 日本ユニシス株式会社 : 1枚のICカードで実現するオフィスセキュリティ(福岡)・2008年05月21日
- ソフトバンク・テクノロジー株式会社 : 事業継続管理セミナー 〜組織・企業の社会的責任としてのリスクマネジメント戦略〜・2008年05月21日
- 株式会社ソリトンシステムズ : SaaSによるセキュリティ対策のご提案 〜社外ファイルの守り方と今後のログ対策〜・2008年05月22日
プレスリリース
- 関西マルチメディアサービス : インターネットセキュリティ啓発活動の取り組み強化について・2008年05月09日
- フォーティネットジャパン : フォーティネットウイルス対処状況レポート(2008年4月度)・2008年05月09日
- アルプス システム インテグレーション : ALSI 持ち出しPCのアクセス履歴が把握できるクライアントセキュリティ「InterSafe CATS」に 内部統制対策にも最適な「Webアクセス監視機能」を追加・2008年05月08日
- アシスト : 【セミナー案内】内部統制 事例セミナー・2008年05月08日
- フォーティネットジャパン : Adobe Acrobat Professional およびAcrobat ReaderのJavaScriptに複数の脆弱性を発見・2008年05月08日
- スターネット株式会社 : 機能アップしたSaaS型PCセキュリティ・IT資産管理サービス「STAR−ISM」 の紹介セミナーを5月23日(金)東京・27日(火)大阪にて開催!・2008年05月08日
- ハイパーギア : 既存のWEBシステムに1時間で情報漏えい防止対策を・2008年05月08日
- NECソフト : メール自動暗号化システムの強化について・2008年05月08日
- 株式会社アイシーズ : Wii&Wii Fitが当たる会員登録キャンペーン「第二弾」実施中【Bizma!】・2008年05月08日
- NECソフト : ウィルス対策の盲点!Fortinetで実現するセキュリティ対策セミナー・2008年05月08日
最新記事
- インターコム、IT全般統制を支援するログ・資産ツールの新版を販売へ
- グループウェアの端末に複合機を活用--ネオジャパンとリコーが協業強化
- 世界標準の情報セキュリティプロフェッショナル認定資格「CISSP」って何?
- IBMとTATA、どっちがよりアメリカ的か?(ZDNet Japanブログより)
- 日本一の富豪に任天堂・山内相談役が選ばれる
- PtoPソフト利用は減少傾向、WinnyからShareへの移行が進む--ネットエージェント調査
- 2007年国内IPコンタクトセンターシステム市場規模は前年比9.6%増--IDC Japan
- Firefox 3が対応したdisplayプロパティの値(2)
- グーグル、米ヤフーとの広告提携を語る--非独占的と考える根拠を示す
- マイクロソフト、Office 2007 SP1の自動配布を6月に開始
企画特集
-Simplify IT- ITをシンプルに 連載第2回- PowerEdgeサーバ〜Windows Server 2008モデル登場
オンラインマーケティングの最重要課題- ウェブ解析ツールを自社の味方につけるノウハウとは
ブログ
ブログ RSS Feed
ブログ開始にあたり- 裏方の裏方日記〜日々是広報 2008/04/22 00:00
- その39:ジェスチャー2 〜ジェスチャー作成方法〜 Second Life 新世界的ものづくりのススメ
- 続 VPSについて 日本Linux協会blog
- その後の僕とMac IT-Walker on ZDNet
- ちょっとドメイン編 〜DNSの流れについて〜 「ズームイン!IPアドレス」ちょっとドメインも
- 日時の表示フォーマット あとで読むRailsのススメ
- 猫科の手も借りたい
- 目標管理がもたらす弊害、の正体 大競争時代のBI活用術
- 日本ソフトウェア産業応援歌、、、、 アジアIT通信
- log4day〜1人月からの脱却
- 脱線いたしま〜す 「あの頃は会社をやめる事ばかり考えていた」 真水不足のミッドウェイ
- 職場に愛と笑顔を 現場からの「協働革新」
- キャストの真実 「Second Love Story」〜あの頃の僕たちに〜
- アプライアンス・サーバーは皆を幸せにする DIY的ITシステムのススメ
- MacPortsに乗り換えた Macでたしなむスクリプト言語
- Admin.Mac
- オープンソースを支えるコミュニティ活動(イベント編) インサイドオープンソース
- 「エンタープライズ2.0」への道しるべ
- GoogleとAT&T、iPhoneからの検索リクエストにうれしい悲鳴 J. O'Gradyのアップルコア
- Google検索サイトにビデオ広告が登場 グーグリングGoogle
- マイクロソフトの頼んでもいない提案を評価するYahoo!取締役会 シリコンバレーの現場から
- IBMとTATA、どっちがよりアメリカ的か? エンタープライズニュースの読み方
- 真の「オープンソース候補」はだれか? ZDNet.com オープンソースブログ
- SOAスイートの誘惑に打ち勝つ! ZDNet.com SOAブログ
- 圧縮解凍ツールに脆弱性が発覚、対策はバージョンアップ! ITセキュリティー下学上達
- 米国一般家庭のブロードバンド事情 IP Telephony最前線
- ITIL:インサイドストーリー
注目トピックス From CNET Japan
マイクロソフト、「XP SP3」の提供を延期--未対応の問題発見で - マイクロソフトは米国時間4月29日、未対応な問題が新たに発見されたことを理由に「Windows XP Service Pack 3(SP3)」のリリースを延期したことを発表した。
次世代DVD戦争は終結も…、進まぬBlu-rayプレーヤーの普及 - HD DVDとBlu-rayを巡る次世代DVDの規格争いは終結したものの、その後も、勝ち残ったBlu-rayプレーヤーの販売台数が大幅に伸びるといった状況にはなっていない。高い販売価格がネックとなり、依然として一般的な消費者からは敬遠されている。
ニコニコ動画とAR(現実拡張)技術が可能にする「ニコニコ現実」という未来 - ニコニコ動画の大きな特徴の1つが、他のユーザーと一緒に動画を見ているかのように感じられる擬似同期性だ。この手法は、ほかのサービスでも応用できるのだろうか。