あの「SQLインジェクション」騒動の裏で(前編)川口洋のセキュリティ・プライベート・アイズ(1)

» 2008年04月04日 10時00分 公開
[川口洋@IT]

毎日のように起きる脆弱性を突いた攻撃、それを守るための仕組みも多数のベンダにより提供されていますが、実際にその攻撃を検知し、どのように対処するかということは人間の手――セキュリティアナリストによって行われています。本連載ではそのセキュリティアナリストと呼ばれる人たちが、どのような考え方やマインドで仕事をしているのかを探るべく、技術とともに“人”にフォーカスしたコラムとして伝えていきます(編集部)


「攻撃の波」をいち早く見つけることの意味

 はじめまして。今回からこのコラムを担当する、川口といいます。わたしが勤める株式会社ラックは、企業のITインフラをリスクから守るためのさまざまなセキュリティソリューションを提供しています。わたしの役割は、企業・団体などのITネットワークを守るセキュリティ監視運用センター“JSOC”(Japan Security Operation Center:ジェイソック)のセキュリティアナリストリーダーとして、日夜発生するインターネットの脅威と戦うことです。

 JSOCは、24時間365日お客さまのセキュリティセンサーを監視しており、セキュリティアナリストの役割は、それらのログやアラートから見えてくる、侵入や攻撃などの保安上の脅威となる問題(セキュリティインシデント)をいち早く発見して被害を未然に防ぐこととなります。本コラムでは、セキュリティアナリストという仕事から見えるセキュリティ防衛の最前線の世界について少しでも皆さんに感じてもらいたいと考えています。

そのとき、事件は起こった

 3月12日にラックから「日本をターゲットとしたSQLインジェクションによるホームページ改ざん行為と、同行為により改ざんされたページへのアクセスによるマルウェア感染について」の注意喚起を出しました。これはあるIPアドレスから「SQLインジェクション」という手法で日本のホームページを狙って改ざんしようとする攻撃が急増したことをお伝えしたものです。コラム第1回はこの舞台裏を時系列に書きつづりながら、われわれセキュリティアナリストの仕事とその判断の裏側を垣間見ていただきたいと思います。

【関連記事】

NewsInsight − @IT (2008年3月12日)
SQLインジェクション攻撃の波が再来、通常の70〜100倍に
http://www.atmarkit.co.jp/news/200803/12/sqlinjection.html


NewsInsight − @IT (2008年3月27日)
SQLインジェクション攻撃の波はまだ終わっていない
http://www.atmarkit.co.jp/news/200803/27/lac.html


 今回、注意喚起を行った攻撃はSQLインジェクションという手法で、Webアプリケーションの脆弱性を狙った攻撃手法の1つです。攻撃者はSQLインジェクションでホームページを改ざんし、悪意のあるホームページへのリンクを挿入します。いままで話題にされてきたSQLインジェクションはデータベースの情報をターゲットとして行われており、現在もJSOCで検知するSQLインジェクションの99.99%はデータベースの情報獲得を狙ったものです。

 しかし、今回の事件で行われたSQLインジェクションのターゲットは「ホームページを訪れるインターネット利用者」でした。攻撃者はホームページを改ざんし、自分の管理するホームページへの接続を狙っていました。改ざんされたホームページを訪れた利用者は、気付かないうちに悪意のあるホームページに接続され、マルウェアに感染してしまうのです。

2008年3月11日(火)――ふとよぎる「嫌な予感」

 この「ホームページを訪れる利用者」を狙ったSQLインジェクションは、11日から始まり、あるIPアドレスから攻撃されていました。危険なインシデントが発生すると、JSOCで監視をしているセキュリティアナリストのメンバーからリーダーであるわたしに連絡が来ます。わたしが内容を確認し、許可を出した後、お客さまへの連絡が行われます。今回は、わたしへのSQLインジェクションの連絡回数がいつもより多かったことから、「何か嫌な予感がするな」と感じていました。これがあの大規模な攻撃の幕開けだったのです。

 11日の時点ではこのSQLインジェクションはデータベースの操作を試みているところまではつかんでいましたが、どのような操作が行われているか完全に把握できていませんでした。この後を守るセキュリティアナリストには、引き継ぎ事項として「データベースの操作が分かったら連絡をして。お客さまに緊急連絡が必要な“クリティカルレベル”にまで発展したらいつもどおりの速やかな対処で落ち着いてね!」と伝えて、この日の業務を終えました。

2008年3月12日(水)――ターゲットは「日本」?!

 12日の朝、夜勤をしていたセキュリティアナリストから緊急の連絡がありました。「川口さん、SQLインジェクションで接続されるホームページが分かりました。しかも、日本のホームページをターゲットにしている可能性があります。すでに被害が出ているところもあります」とのこと。即、該当ホームページの調査を指示しました。日本のホームページでも被害が出始めており、注意喚起をする必要があることから、直ちに弊社のサイバーリスク総合研究所のメンバーに連絡。攻撃の状況を話し、緊急で注意喚起をリリースすることを決定しました。このとき「これはしばらく対応に追われる予感がするな」と考えておりました。

 緊急インシデントが発生しているお客さまへの電話と並行して、今日出勤しているセキュリティアナリスト全員で今回行われているSQLインジェクションの調査を行いました。

  • どこから攻撃が来ているのか?
  • この攻撃元は過去に攻撃をしたことはあるか?(JSOCのブラックリストに登録されているか?)
  • 攻撃はどのように行われているのか?
  • 接続されるホームページはどうなっているか?
  • どのようなマルウェアが仕込まれる可能性があるのか?

 これらの情報を調査しながら、サイバーリスク総合研究所のメンバーと情報を逐次共有していました。一般のセミナーやお客さまの前で話すことが多いわたしは、「これはセミナーなどで社会に啓発することで被害を未然に防ぐことができるのではないか」と考え、解析した結果や対応を時系列でまとめていました。どうせ対策を行うのであれば、それだけで終わってはいけません。インシデントが起きても、転んでもタダでは起きないのです。このまとめが後で生きました(これについては次回に触れることにします)。

 注意喚起に必要な情報は、「喚起したい内容」「現在の状況」「対処方法」です。特に「対処方法」は、一番多くのお問い合わせをいただくポイントとなりますので、毎回どのような情報をお伝えするべきなのか、とても悩みます。「情報が足りなければ、情報提供の意味をなさない」とはいえ、詳しい情報を調査、記載するような時間の余裕もない。注意喚起を作成、配信する間にもJSOCのお客さまに対するSQLインジェクションは行われています。

 今回のようなホームページを改ざんするSQLインジェクションは、先月までの平均より約100倍の数の攻撃が行われていました。早く注意喚起を出さなければ、被害が拡大してしまいます。わたしたちは「足りない情報は追加情報として後で配信しよう」と割り切り、まずJSOC監視サービスを提供するお客さまに対して、正午から注意喚起の配信を開始し、続いて弊社ホームページやニュースリリースなどを通じて、広く今回の注意喚起をいたしました。

 偶然にも今日3月12日はマイクロソフトの定例のセキュリティ情報が公開される日です。マイクロソフトから公開されるセキュリティ情報の確認と対応も行う必要があったのです。さらにマイクロソフトの発表に合わせてIDS(Intrusion Detection System:侵入検知装置)、IPS(Intrusion Prevention System:侵入防止装置)の各製品ベンダは新しいシグネチャを高い確率でリリースします。この新規シグネチャの調査、アップデートも行わなければいけません。これらの対応を行うためにセキュリティアナリストのリソースが逼迫(ひっぱく)してしまいます。「なんでこんな日に限って重なるんだ」と嘆いても始まりません。マイクロソフト関係の対応は別のセキュリティアナリストに任せ、わたしは今日のSQLインジェクションの対応に専念しました。

 今日1日でお客さまに連絡した数は通常の5倍。お客さまとの連絡に対応していたセキュリティアナリストは検知→分析→連絡→記録→検知の繰り返しに追われていました。その対応に追われる中で、悪意のあるホームページの調査も行いました。幸いだったのはこの手の調査に慣れているセキュリティアナリストの多くが今日のシフトに組み込まれていたことです。てんやわんやになりつつも、メンバーたちは今日の仕事を終えて帰って行きました。

 あるセキュリティアナリストが、「今日はホント大変でした。こんなに大変だったのはチームに入りたてのころ以来です。今夜も荒れそうですね」とつぶやいて帰って行きました。「荒れないでくれ」というのが筆者の切なる願いだったのですが……。続きは後編へ。

Profile

川口 洋(かわぐち ひろし)
株式会社ラック
JSOCチーフエバンジェリスト兼セキュリティアナリスト

ラック入社後、IDSやファイアウォールなどの運用・管理業務を経て、セキュリティアナリストとして、JSOC監視サービスに従事し、日々セキュリティインシデントに対応。

アナリストリーダとして、セキュリティイベントの分析とともに、IDS/IPSに適用するJSOCオリジナルシグネチャ(JSIG)の作成、チューニングを実施し、監視サービスの技術面のコントロールを行う。

現在、JSOCチーフエバンジェリスト兼セキュリティアナリストとして、JSOC全体の技術面をコントロールし、監視報告会、セミナー講師など対外的な活動も行う。


「川口洋のセキュリティ・プライベート・アイズ」バックナンバー

Copyright © ITmedia, Inc. All Rights Reserved.

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。