セキュリティ・ベンダーのラックは2008年12月22日,SQLインジェクションによるWebサイト改ざんの攻撃が急激に増えていると警告を発した。改ざんされたWebサイトの閲覧によって,企業などの組織にボットなどの不正プログラムが潜入する被害の急増も確認されているという。
同社のセキュリティ監視センター(JSOC)の観測データによると,これまでSQLインジェクション攻撃の観測数は,多くても1カ月に約26万件(2008年10月時点の数字)だった(関連記事)。ところが2008年12月半ばから攻撃件数が急増。「12月15日から22日までの間に,約150万件の攻撃を検知した。従来の1カ月分の攻撃が,1日に押し寄せている状況」(ラック広報)だという(図1)。
なぜ攻撃が急増しているのか,今のところ原因は不明。攻撃元となるコンピュータにはボットネットが悪用されている。攻撃元を国別に見ると,韓国が約70%,日本が12.3%,アメリカが3.7%,サウジアラビアが2.7%,エジプトが1.5%,中国が1.0%だという。
攻撃が成功した場合,Webサイトに悪質なスクリプトを仕込まれたり,IFRAMEタグを使って悪意あるコンテンツを仕込んだ別のWebページを埋め込まれたりする。これらの悪質なコードは,WindowsやInternet Explorer(MS06-014,MS08-078),Adobe Flash Playerなどのぜい弱性を悪用して,Webサイトを閲覧したユーザーのクライアント・パソコンに「ダウンローダ」と呼ばれる不正プログラムを送り込む。ダウンローダはインターネット経由で,さらに別の不正プログラムを勝手にダウンロードしてくる。「ダウンローダがダウンロードしてくる不正プログラムは随時アップデートされ,別の不正プログラムに変わっている。そのため,今回の不正プログラムの被害の実像はわかりにくく,ウイルス対策ソフトによって検知できないケースも多い」(ラック広報)。現状では,オンライン・ゲームのアカウントの詐取,他のWebサイトへSQLインジェクション攻撃の実行といった被害が確認されているという。
ラックでは,2008年12月に入ってからSQLインジェクション攻撃でWebサイトが改ざんされたケース,不正プログラムが侵入したケースを複数確認。企業や組織に注意喚起と対策の実施を呼びかけている。
とはいえ,クライアント・パソコンへの感染対策に関しては,前述の通り不正プログラムがたびたび変化するため,「ダウンロードされるすべての不正プログラムを検出する方法は,今のところわかっていない」(ラック広報)。この不正プログラムは,(1)外部への感染拡大活動やSQLインジェクション攻撃を実行する,(2)検索サイト「百度」(http://www.baidu.jp/)を使って攻撃対象のWebサイトを探す――という動作をすることがわかっている。このため,組織内のネットワークから外部へのSQLインジェクション,百度へのアクセスを検知することで,感染パソコンの有無を推測できるという。ラックでは併せて,企業サイト側でWebページ改ざんの有無を確認することも推奨している(ラックの参考資料)。
