Tweet

ラックが警告、主にASPアプリケーションが狙いに

SQLインジェクション攻撃の波が再来、通常の70〜100倍に

2008/03/12

　セキュリティ企業のラックは3月12日、日本をターゲットとしたSQLインジェクション攻撃が急増しているとし、注意を喚起した。企業や組織などが公開している正規のページが改ざんされて悪意あるWebサイトへのリンクが埋め込まれ、ユーザーがマルウェア感染などの被害を被る恐れがある。

　同社のセキュリティ監視センター、JSOC（Japan Security Operation Center）によると、一連の攻撃は3月11日の夜から12日にかけて継続しており、通常の70〜100倍の件数に上っている。攻撃の結果改ざんされたページも、検索エンジンなどで確認できる範囲だけでも1万3000ページ以上に達するなど、大規模な攻撃に発展しているという。このことを踏まえると、何らかの自動化ツール、あるいはボットによる攻撃が行われている可能性は否定できない。

　この攻撃は、Webアプリケーションに存在するSQLインジェクションの脆弱性を狙ったもの。悪用されるとWebページが改ざんされ、マルウェアを感染させようと試みる別のWebサイトへのリンクが埋め込まれる。このリンクは、SCRIPTタグのSRC要素として埋め込まれるため、通常のWebブラウザなどでは確認できないという。

　悪意あるWebサイトには、オンラインゲームの情報などを盗み取るマルウェアが用意されている。ラックによるとこのマルウェアは、WindowsのMicrosoft Data Access Components（MDAC）の脆弱性（MS06-014）やReal Playerの脆弱性を悪用するもので、セキュリティホールが残ったままだと、ユーザーが意図しないうちに感染するという。

　12日に、ウイルス情報ページの一部が改ざんされ、悪意あるWebサイトへのリンクが埋め込まれていたことを明らかにしたトレンドマイクロも、原因は、ウイルスデータベースの検索を行うWebアプリケーションに存在したSQLインジェクションの脆弱性であることを認めた。

ASPの「バグを作りやすいところ」が狙われる

　2005年にも、SQLインジェクションの脆弱性を狙う攻撃が多発したが、「明らかに目的が異なる」と、ラック 研究開発本部 先端技術開発部部長の新井悠氏は指摘している。

　「以前の攻撃では、企業が保有している個人情報を引き出し、転売することが目的だった。今回の攻撃は、エンドユーザーをウイルスに感染させ、アカウントなどのデータを盗みとろうとしている。つまり、企業などの正規のページを改ざんすることによって、個人を狙っている」（新井氏）

　また今回の攻撃は、ミドルウェアではなく、ASP（Active Server Pages）を用いて開発されたWebアプリケーションの脆弱性が主に狙われている点にも注意が必要だという。

　ASPを用いて開発されたアプリケーションは、企業の要件に応じて個別に開発されることが多いが、その「バグが作り込まれやすいところを狙ってきている。このため、一概にパッチの適用で修正できるというわけではなく、対処が困難だ」と新井氏は指摘。Webサーバを運用している企業や組織は、パッケージ製品だけでなく、外注しているアプリケーションについても改めて診断を受け、修正を施すべきだと述べた。

　またエンドユーザーには、基本の繰り返しではあるがセキュリティパッチを適用するとともに、手元のウイルス対策ソフトウェアのパターンファイルを最新の状態にアップデートすべきという。