株式会社ラックは10月2日、新手のSQLインジェクションを行使するボットが確認されたとして緊急注意喚起を行った。
同社のサイバーリスク総合研究所のコンピュータセキュリティ研究所が緊急注意喚起レポートを公開。それによると、Cookieに攻撃を組み込むことでIDS/IPS、WAFなどの防御システムをすり抜ける、新手のSQLインジェクション攻撃を行使するボットが確認されたという。同攻撃はラックのJSOCでも9月30日から検知されており、実際に被害にあったWebサイトも確認されたため、今回、注意喚起を行ったとしている。
SQLインジェクションは、Webサイトに不正スクリプトを埋め込む攻撃。通常、GETメソッドやPOSTメソッドを利用し、URIの部分に攻撃の内容が含まれているのだが、今回の攻撃は、Cookieの値に対してSQLインジェクションを行うよう進化していた。
Cookieに攻撃が含まれるため、Webサーバーログに攻撃の痕跡が記録されない可能性が高いほか、攻撃自体に検知機能を回避する手法が採られているため、IDS/IPSで検知できないケースがあるという。
攻撃による影響としては、Webアプリケーション経由でデータベースの内容が改ざんされ、不正なスクリプトが埋め込まれる可能性がある。その内容を表示したWebページを参照したユーザーは気づかないうちに不正Webサイトへ誘導されてしまう。
攻撃対象は、SQLインジェクション脆弱性が存在する、ASP(Active Server Pages)で作成されたWebアプリケーション。そのほかの環境も攻撃対象になる可能性があるとしている。攻撃元IPアドレスは「61.152.246.157」「211.144.133.161」でいずれも中国。
推奨する対策として、Webサイト管理者は、Cookieに含まれる攻撃のためアクセスログに残らない可能性が高いが、念のため確認し、上記IPアドレスからのアクセスがないかを確認するほか、データベース全体を調査し、不正Webサイト「http://drmyy.c」(アクセス厳禁)へのリンクが埋め込まれていないか確認するようにとのこと。そのほか、データベーストリガーによるSQLインジェクション防御の検討を推奨。さらにWebサーバーにCookieのログ取得設定を追加し、攻撃元IPアドレスからのアクセスをファイアウォールなどで拒否するようにした上で、セキュリティ診断によって公開アプリケーションの脆弱性の有無を確認するようにとしている。
また社内LAN管理者は、クライアントアプリケーションが最新版であるか確認し、クライアントが利用するプロキシログを含め、「211.154.163.43」(アクセス厳禁)へのWebアクセスが存在しないか確認することとしている。万が一内部から当該IPアドレスへのアクセスがあった場合、すでに攻撃の被害を受けたWebサーバーから不正Webサイトに転送され、クライアントPC上で悪意あるプログラムが実行されている可能性があるというので要注意。社内から当該IPアドレスへアクセスできないよう、ファイアウォールやプロキシで拒否設定するようにとも呼びかけている。
■ URL
株式会社ラック
http://www.lac.co.jp/
参考:【DBSL】緊急対応から見たWebサイト用データベースセキュリティ対策(PDF)
http://www.lac.co.jp/info/rrics_report/pdf/20080806_dbslreport.pdf
ニュースリリース
http://www.lac.co.jp/news/press20081002.html
( 川島 弘之 )
2008/10/03 16:51
|