Enterprise Watch
最新ニュース

そのとき日本で何が起きたのか?-3月のWeb改ざん事例をラックが説明


JSOC チーフエバンジェリスト セキュリティアナリストの川口洋氏
 株式会社ラックは3月27日、3月中旬に報道された国内におけるSQLインジェクションの大規模インシデントに関して記者向け説明会を開催。13日にラックが注意喚起を発表した前後数日の間に何が起きていたのかについて、JSOC チーフエバンジェリスト セキュリティアナリストの川口洋氏が概要を説明した。

 SQLインジェクションとは、Webアプリケーションの脆弱性を突く攻撃だ。この脆弱性が存在するWebアプリケーションに対して、不正なSQL文を混入させたHTTPパケットを送信することで、Webアプリケーションの背後で動くデータベース(DB)に干渉し、場合によっては格納されたデータを不正に操作できてしまう。最悪のケースでは、データベース内の全データ喪失という事態さえ起こりかねない脅威的な攻撃だ。

 今回のインシデント事例では、この攻撃によってWebページの中に不正プログラムを埋め込むという手口が利用された。いわゆるWebサイトの改ざんだ。ここへ一般ユーザーがアクセスすると、ユーザーの気付かぬうちに悪意のあるサーバーに転送され、不正なプログラム(fuckjp.jsなど)がダウンロードされてしまう状況だった。


JSOCで検知されたSQLインジェクション件数の推移。2005年にも改ざん事例が発生し騒がれたが、最近の件数と比べると圧倒的に少ない SQLインジェクションを引き起こしたHTTPパケットの中身。赤字が不正なSQL文 こちらが埋め込まれた悪意あるスクリプト。DBの文字列型のテーブルすべてに、このスクリプトが埋め込む手口だった

11日から13日の攻撃の流れ
 2007年11月から攻撃の兆候はあった。川口氏によれば「この時も実際に攻撃が多数確認されたが、国内での感染はあまりみられなかったため注意喚起は出さなかった」という。日本への発信元は中国(大本の発信元は不明)で、「yl18.net」に転送されるようになっていた。

 この兆候は12月も続いたが、2008年に入ってからは沈静化していた。1月、2月とSQLインジェクション攻撃自体が減少傾向にあったのだが、3月11日になって急増。日本のWebサイトでも改ざんが確認されたため、ラックでは12日に顧客に向けて注意喚起を行うとともに、不審サイトの捕獲や悪意あるスクリプトの解析を並行して実施した。このとき「通常時の70倍から100倍以上の攻撃が検知された」という。13日になると、不正なプログラムのホストとなっていた「www.2117966.net」が停止し、いったん攻撃が収まったことが確認された。

 ところが19日、www.2117966.netのDNS情報が変更され、Webサーバーが活動を再開。21日には不正なプログラムも再びアクセス可能となっており、24日にはSQLインジェクションの再開も確認された。川口氏は「このとき、ユーザーの転送先は動的に変更されるよう進化した攻撃となっていた。おそらく13日からの空白の期間に、攻撃システムに改良を加えていたのだと思われる」と話し、今後さらに大規模な攻撃へ発展する可能性があるとして注意を呼びかけた。


不正なプログラムは、クライアントPCのこれらの脆弱性を突いて感染する
 なおSQLインジェクションによって埋め込まれた不正なプログラムは、一般ユーザーを標的にしたものであり、RealPlayerやMS06-014 MDACなどの脆弱性を突いてPCに感染する。

 対策としては、サーバー管理者はWebアプリケーションから接続されるDBをすべて調査して、www.2117966.netという文字列が含まれていないかを調べ、念のため最近Webアプリケーションの脆弱性調査を行ったか確認すべきという。今回の攻撃は、主にIISを標的にしていたが、SQLインジェクションはWebアプリケーションの脆弱性を突く攻撃なので、Webサーバーや開発言語が何かといったことは関係ない。確実なのは、IDS/IPS、Webアプリケーションファイアウォールなどのセキュリティ対策製品を導入するか、Webアプリケーションの診断により、脆弱性を修正することだとしている。

 クライアントの管理者の対策としては、ファイアウォールやプロキシサーバーなどのログを調査し、今回の攻撃に利用された「125.46.105.224」「60.172.219.4」からのアクセス、または社内からこれらのIPアドレスへのアクセスがないか調査すべきとし、一般ユーザーに対しては、「これまでと同様、Windows Updataやウイルス対策ソフトの更新を行い、PC内のアプリケーションを最新バージョンにするといった対策を確実に行っていくこと」とした。



URL
  株式会社ラック
  http://www.lac.co.jp/
  ラックからの注意喚起
  http://www.lac.co.jp/news/press20080312.html


( 川島 弘之 )
2008/03/27 18:03

Enterprise Watch ホームページ
Copyright (c) 2008 Impress Watch Corporation, an Impress Group company. All rights reserved.