ゴルフダイジェスト・オンライン(GDO)への不正アクセスは,同社データベースへのSQLインジェクション攻撃であることがわかった。
GDOでは,同社Webサイトを構成するデータベースの一部が不正アクセスを受けたとして,2008年10月2日からWebサービスを全面的に停止していた(関連記事)。攻撃の具体的な手順は明らかにしていなかったが,「今までにない新しい手法のSQLインジェクションだった」(同社広報)という。なお,最近セキュリティ・ベンダーからCookieを悪用した新手のSQLインジェクションについて警告が出ている(関連記事)が,この件との因果関係については「コメントできない」(同社広報)としている。
この攻撃の影響で,GDOの配信メールの一部に不正なURLが埋め込まれ,URLをクリックしたユーザーはマルウエアに感染する危険性が生じた。「URLを埋め込まれた可能性のあるメールは,2008年9月30日午前8時から10月3日午後1時30分までの間にGDOから配信されたメールのうち,メールマガジン以外のもの。最大で1万4152件となる。ただし,これらのメールすべてに不正なURLが含まれているとは限らず,詳細は現在調査中。該当ユーザーにはメールでその旨,連絡する」(同社広報)。
当初,不正なURLを埋め込まれた可能性があるメールは最大1万4125件としていましたが,1万4152件の誤りでした。また,当該メールが配信された時間帯は,当初,9月30日の午前10時から同日午後9時としていましたが,その後のGDOの調査により,異なることが明らかになったため,改訂しました。 [2008/10/9 16:00]
なお,「Webページ上のコンテンツには改ざんの痕跡はなかった。そのため,サイトにアクセスしただけのユーザーは感染の恐れはない」(同社広報)という。
マルウエアの詳細情報は,「当社システムのセキュリティ上,現時点では公表を控えさせていただいている」(同社広報)。当該マルウエアは,現時点では複数のマルウエア対策ソフトで検出できる。GDOでは複数のマルウエア対策ソフトを検証した結果,ロシアのカスペルスキー研究所のソフトを推奨しているという。GDOでは,マルウエアに感染したユーザー向けに「GDOウイルス対策フリーダイヤル」を設置して対応している(詳細は同社サイト)。ユーザーが利用しているソフトでマルウエアを検出できるか否かは,こちらの窓口に問い合わせれば個別に回答するとしている。
SQLインジェクションとは,Webアプリケーションに不正な入力値を送ってSQLクエリーを実行させ,Webページに不正なコードや悪質サイトへのリンクを埋め込む攻撃のこと。2008年に入ってから攻撃件数が急増している(関連記事)。
