セキュリティ対策ベンダーのラックは2008年3月27日,「日本を狙ったWeb改ざん攻撃の今~3月12日に何が起きたのか~」と題した報道機関向けの説明会を開催した。この説明会は,トレンドマイクロのホームページにウイルスが埋め込まれるなど,3月11日夜から12日に日本のWebサイトを中心に発生した一連のWeb改ざん事件を受けて実施されたもの(関連記事)。壇上に立ったラックのJSOCチーフエバンジェリスト セキュリティアナリストの川口洋氏は「改ざん攻撃は今も継続中だ」と警告を発した(写真)。
今回の攻撃は,Webアプリケーションのデータベース・アクセスのぜい弱性を突いて,データベースの内容を改ざんする「SQLインジェクション」を使ったもの。もしWebアプリケーションにぜい弱性が存在すると,データベースに格納された文字列に悪意あるJavaScriptへのリンク情報が挿入される。この改ざんされたデータベースを使ってWebページを動的に生成すると,Webページにアクセスしてきたユーザーのパソコン上で悪意あるJavaScriptが実行されるという仕掛けだ。さらにこのJavaScriptは,攻撃者の支配下にある別のサーバーにユーザーを誘導し,ユーザーのパソコンにウイルスなどの不正プログラムを送り込む。
川口氏によれば,Webサイトの改ざん攻撃は3月11日~12日に発生していたが,13日の昼以降にいったん攻撃がやんだという。「JavaScriptの実体が格納されていたWebサーバーも閉鎖された」(川口氏)。ところが3月21日に,このWebサーバーが別のIPアドレスで復活。24日以降に,攻撃が再開されたという。「たとえ攻撃が止まっても,再度,形を変えて攻撃が継続されると考えるべきだ」(同)。
説明会では,こうした攻撃を受けないための方策も示した。まずエンドユーザーは,(1)Windowsおよびパソコン上にあるすべてのアプリケーションを最新のバージョンにすること,(2)ウイルス対策ソフトをインストールし,最新の定義ファイルにアップデートして利用すること――を実践すべきとした。
一方,Webサーバーの管理者は(1)SQLインジェクション攻撃を受けていないかを確認したうえで,(2)攻撃の痕跡があった場合には,データベースを調査し,悪意あるJavaScriptが格納されているサーバー名である「www.2117966.net」という文字列が含まれていないかをチェックすべきとした。SQLインジェクション攻撃を受けているかどうかは,ラックが無償で提供しているWebサーバー・ログ解析ツール「SecureSite Checker Free」が利用できるという。また,SQLインジェクション攻撃を受けた痕跡がなかったとしても,「今後の攻撃に備えて,Webアプリケーションのぜい弱性を根絶する努力をすべき」(川口氏)とした。
