セキュリティ企業のラックは2008年3月27日、3月11日から3月13日に確認されたWebサイトへの大規模攻撃が、3月24日に一時的に再開されたことを明らかにした。攻撃の目的は、Webページを改ざんして、別サイトに置いたウイルスを感染させる「わな」を仕掛けること。一度は閉鎖された「ウイルスサイト(ウイルスが置かれていたサイト)」も、3月19日以降はアクセス可能になっている。
「SQLインジェクション」でウイルスのわな
ラックでは3月12日、3月11日の夜以降、日本のWebサイトを狙ったWebページの改ざんが相次いでいるとして注意を呼びかけた。同社の監視センター「JSOC」では、通常の70倍から100倍の攻撃トラフィックを確認したとする。
改ざんによって、特定のWebサイトに置かれた「ウイルスファイル」をダウンロードさせるような文字列が埋め込まれた。ウイルスファイルには、WindowsやReal Playerなどの脆弱性を突いて、ウイルスを感染させるような仕掛けが施されている。
このため、脆弱性のある環境では、改ざんされたWebページにアクセスするだけでウイルスに感染する恐れがある。感染するウイルスの種類はさまざまだが、ほとんどは別のウイルスをダウンロードおよび実行する「ダウンローダー」であるという。
改ざんの手口は、Webアプリケーションの脆弱(ぜいじゃく)性を悪用する「SQLインジェクション」。攻撃対象は、ASP(Active Server Pages)で開発されたWebアプリケーション。Webアプリケーションの脆弱性を突く「攻撃ツール」が利用されていたという。
「一連の攻撃に使われているとみられるツールは洗練されていて、ほとんどのIDS(侵入検知システム)/IPS(侵入防止システム)では攻撃を検出できない。また、操作は簡単。ツールさえあれば誰でも攻撃できてしまう」(ラック セキュリティ事業本部 JSOC事業部 技術部 JSOCチーフエバンジェリスト セキュリティアナリストの川口洋氏)。
同様の攻撃は、国内ばかりではなく、世界中で確認されていた。例えば米マカフィーでは、3月13日までに2万件におよぶWebページが改ざんされただろうと推測している。
しかしながらラックによれば、3月13日には大規模攻撃は収まったという。加えて同日正午ごろには、ウイルスサイトが閉鎖し、アクセスできなくなった。これにより、改ざんされたページにアクセスしても、ウイルスに感染する心配はなくなった。
