今週のSecurity Check 第204回

 2008年3月,SQLインジェクションによる大規模なWebサイト改ざん攻撃が話題となった。IBMのセキュリティオペレーションセンター(以下,SOC)では,その後も同様の攻撃を検知し続けている。この間,攻撃の傾向に大きな変化が見られた。また,この攻撃によって改ざんしたWebサイトからユーザーを悪質なサイトに誘い込む攻撃(誘導型攻撃)でも新しい内容が確認された。以下で,SOCで検知しているSQLインジェクション攻撃の最新動向を紹介しよう。

 攻撃者がSQLインジェクション攻撃を仕掛ける目的には,誘導型攻撃を目的としたWebページ改ざんのほかに,情報の不正取得や認証の回避が挙げられる。攻撃対象は,Webアプリケーションと連動するデータベースそのもの。著名なWebサイトがSQLインジェクション攻撃によって個人情報を奪われた例もある。

■修正履歴
当初,攻撃を仕掛けられた例として編集部側で特定のサイト名を記載しましたが,一般的な話にするため,「著名なWebサイト」と表現を改めました。[2008/8/22]

 ただ最近は,最終的にクライアントを攻撃することを目的としてWebページ改ざんを狙うSQLインジェクションの方が目立つようになってきている。図1は東京SOCで検知したSQLインジェクション攻撃の推移である。グラフから分かるように,2008年5月以降,攻撃数が大幅に増加している。3~4月は数日間攻撃が行われては収束するという傾向が続いていたが,現在は連日攻撃が検知されている。

■修正履歴
「攻撃の目的をよりはっきり伝えたい」との著者の要望により,一部加筆しました。 [2008/8/22]

図1 SQLインジェクション攻撃の検知数推移 (数値は3月13日の全検知数を100とした場合の相対値)
図1 SQLインジェクション攻撃の検知数推移
(数値は3月13日の全検知数を100とした場合の相対値)
[画像のクリックで拡大表示]

 SOCでは情報の不正取得などを目的としたタイプのSQLインジェクション攻撃も検知しているが,一時的なものを除いて増加傾向は見られない。Webサイトの改ざんを狙ったSQLインジェクション攻撃のみが継続的に増加している。

攻撃元が世界中に広がり始めた

 最近では6月18日以降,検知する攻撃件数が大幅に増加している。6月18日以前にも何度か多数の攻撃を検知したことはあった。ただ,それらの攻撃と6月18日以降の攻撃では,攻撃の傾向に違いが見られる。攻撃元が世界各地に分散しつつあるのだ。背景には攻撃を自動化するツールの登場があるものと見られる。

 例えばWeb改ざんを狙ったSQLインジェクション攻撃は,当初,日本をターゲットに仕掛けられたとされていた。ただ現在は,東京SOCと各国のSOCで同様に攻撃を検知している。攻撃数の推移もほぼ同じであることから,この攻撃は世界的なものと考えて良さそうだ。

 図2は,Web改ざんを狙ったSQLインジェクション攻撃で利用された,ユニークな攻撃元IPアドレス数の推移である。6月18日までの攻撃は比較的少数のIPアドレスから行われていたのに対し,6月18日以降の攻撃は多くのIPアドレスから行われている。

図2 攻撃に利用されたユニークIPアドレス数の推移
図2 攻撃に利用されたユニークIPアドレス数の推移
(件数は3月13日の全検知数を100とした場合の相対値)
[画像のクリックで拡大表示]

 攻撃元の国にも変化が見られる。攻撃に利用されたIPアドレスがどの国に属すものかを調べ,その構成比の推移を表したものが図3である。3~4月はすべての攻撃が中国のIPアドレスを利用して行われていた。その後,徐々に中国以外のIPアドレスからの攻撃が観測されるようになったものの,それでも6月18日以前は中国のIPアドレスが9割以上を占めていた。これに対して6月18日以降の攻撃は,中国以外の割合が急増している。

図3 攻撃に利用されたIPアドレスが属する国の構成比の推移 (件数は3月13日の全検知数を100とした場合の相対値)
図3 攻撃に利用されたIPアドレスが属する国の構成比の推移
[画像のクリックで拡大表示]

 限られた攻撃元から仕掛けられていた攻撃が,急に多数の攻撃元から仕掛けられるようになった理由の一つとして,攻撃の自動化が進んでいることが挙げられる。IBMのセキュリティ研究機関であるIBM X-Forceでは,以前から自動化されたSQLインジェクション攻撃の動きを観測している。

 これら自動化ツールには,検索エンジンを使って攻撃対象となるWebサーバーを探し出し,SQLインジェクション攻撃を自動実行するものがある。今回検知した攻撃元IPアドレス数の急激な増加と攻撃元IPアドレスが属す国の構成比の変化からは,このような自動化ツールの利用が拡大し始めたことがうかがえる。

偽ソフト販売につなげる誘導型攻撃も登場

 一方で,SQLインジェクション攻撃によって改ざんしたWebサイトを使う誘導型攻撃の内容にも変化が見られている。一例を紹介しよう。

 図4は一見,「Windowsセキュリティセンター」のように見える。しかし実は,SQLインジェクション攻撃によって改ざんされたサイトに仕掛けられたワナである。攻撃者は改ざんしたサイトを訪れたユーザーのクライアント・パソコンで,このプログラムを自動実行させようとする。クライアントでプログラムが実行されると,あたかもウイルスが発見されたかのような画面が表示され,ユーザーに偽のセキュリティ・ソフトの購入を促す。ユーザーが購入ボタンを押すと,購入用Webページへ誘導される。

図4 “XP Security Center”の画面
図4 “XP Security Center”の画面
[画像のクリックで拡大表示]

 購入用Webページも作り込まれており,一見した限りでは偽ソフトのページとは思えない。さらに,購入用ページには一般のカード決済サービスが利用されている。

 カード情報の収集を目的とするフィッシング・サイトでは,決済ページも偽のページになっていることが多い。支払いが完了したかのような画面を表示させ,裏で情報を収集するのである。しかし,今回の偽ソフト購入用ページで利用されているサービスでは,カード情報が攻撃者に開示されることはない。攻撃者の目的はカード情報や個人情報の収集ではなく,ユーザーを脅して偽ソフトを購入させ,直接的に収益を上げることであると考えられる。

 この誘導型攻撃を用いた詐欺行為自体は以前から確認されていたが,SQLインジェクション攻撃と連動する形のものは6月30日に初めて検知した。SQLインジェクション攻撃で改ざんされたサイトを訪れた場合の被害としては,これまではウイルスに感染させられ,PCに保存している情報を盗まれるケースが多く確認されていた。しかし今回の例のように,偽のメッセージを表示しユーザーをだます手口が利用されることもある。このことを認識しておくべきだろう。

基本的な対策は変わらない

 Webサイト改ざんを目的としたSQLインジェクション攻撃の傾向や,改ざんされたサイトを利用して行われる誘導型攻撃の手法にはそれぞれ変化が見られる。とはいえ,被害にあわないために必要な対策は変わらない。

 サーバーにおける基本的な対策は,Webアプリケーションに不備を残さないこと。Webアプリケーションに問題がなければ,攻撃者の目的が何であろうとSQLインジェクション攻撃による被害を受けることはない。Webアプリケーションに不備があると分かってもすぐには修正を加えられない場合,あるいは,そもそも確認が難しい場合もあるだろう。そのようなケースでは,WAF(Webアプリケーション・ファイアウォール)やIPS(侵入防御システム)の利用が効果的である。これらを適切に運用することで,SQLインジェクション攻撃やその他のサーバーへの攻撃を防ぐことができる。

 また,今回紹介した誘導型攻撃に対するクライアントへの対策は,システムのぜい弱性を放置しないよう常に最新パッチの適用し,最新版のアプリケーションを利用し続けることである。前述のIPSを導入していれば,誘導型攻撃で利用される攻撃コードや不正プログラムのダウンロードを検知・防御できるケースがある。複数のポイントで,複数の手段を用いてセキュリティ対策を実施することを心掛けてほしい。


窪田 豪史
日本IBM ISS事業部 マネージドセキュリティサービス部
エンジニアリンググループ セキュリティエンジニア