写真●ラックの川口洋JSOCチーフエバンジェリスト兼セキュリティアナリスト
写真●ラックの川口洋JSOCチーフエバンジェリスト兼セキュリティアナリスト
[画像のクリックで拡大表示]

 ラックは2008年9月17日、2008年上期(1月~6月)のインターネット上のセキュリティ動向を解説する説明会を開催した。川口洋JSOCチーフエバンジェリスト兼セキュリティアナリストは「Webサイトを狙われるケースが多くなった。特にSQLインジェクション攻撃(用語解説)が急増し、件数は前年同期比で約4倍になった。加えて、XoopsやphpBB、WikiなどパッケージWebアプリケーションを狙う攻撃も増加している」と2008年上期を総括した。

 川口氏によると08年上期のセキュリティ攻撃全体のうち、Webサイトへの攻撃が95%を占めるという。逆にWebサイト以外への攻撃は減った。「ほとんどの企業でファイアウォールの導入が済んだため、社内への不正侵入などの攻撃はしづらくなっているからだ」と分析する。Webサイトへの攻撃のうち、76%がSQLインジェクション攻撃だった。

 SQLインジェクション攻撃は特に5月から急増。4月ころまでは、川口氏が確認した攻撃の送信元IPアドレスは10個程度だったという。ところが5月初頭からの攻撃では、数千もの送信元IPアドレスが確認された。「ボットネット(用語解説)を使う攻撃ツールが登場したものと思われる」。そのため、SQLインジェクション攻撃の検知数は、4月は5万件だったものが5月には15万件を超えた。

 攻撃件数の増加だけでなく、攻撃目的も変化している。過去のSQLインジェクション攻撃は、サーバーが保持するデータを盗み取ることを目的としたものが多かった。しかし、ここ最近は情報の改ざんを目的とした攻撃が多いという。川口氏は「Webサイトを改ざんしてリンク先を書き換え、エンドユーザーにマルウエアをダウンロードさせる攻撃が多い」とする。例えばクレジットカード番号を盗むにも、サーバー内の情報を盗むのではなく、マルウエアを使ってエンドユーザーのパソコン内から盗む。

 川口氏は攻撃目的が変化した理由を「サーバーはセキュリティ対策が進んで攻撃しづらくなってきた。しかし、エンドユーザーのパソコンでは対策がまだ不十分。攻撃しやすいし、サーバーを直接攻撃するよりも事態の発覚を遅らせやすい」と分析する。

 攻撃手法も高度化している。「IDS/IPSのシグネチャを回避し、検知できないようにする攻撃が増えている。しかも、そうしたIDS/IPS回避方法が中国のサイトなどでチュートリアルとして公表されている」(川口氏)。これに対抗するため、ラックでは独自のシグネチャを用意するなどの対応に追われているという。

 パッケージWebアプリケーションへの攻撃は「世界中で使われていて攻撃者にとって効率がいい。また、バージョンを推測しやすく、バージョンに応じた攻撃ツールを利用して攻撃できる」といった背景から増加しているとみる。

 こうした状況への対策として、企業のIT管理者は(1)セキュリティ診断を実施する、(2)攻撃を受けていないかログを定期的に確認する、(3)IPA(情報処理推進機構)のガイドラインなどを活用して安全なWebアプリケーションにする、(4)パッケージWebアプリケーションは最新版にバージョンアップする、(5)対策できないぜい弱性のあるパッケージWebアプリケーションは利用を中止する、(6)サーバー側の変更が難しい場合はWebアプリケーションファイアウォールを導入する、などの対策をすべきだとした。