あの「SQLインジェクション」騒動の裏で（後編）：川口洋のセキュリティ・プライベート・アイズ（2）

[川口洋，＠IT] PC用表示

LINE

Hatena

　こんにちは。JSOCセキュリティアナリストの川口です。前編では3月11日夜から急増したSQLインジェクションによるホームページ改ざん行為について説明しました。後編では注意喚起を配信した、13日以降のJSOCの舞台裏について説明します。

2008年3月13日（木）――自分たちが出した「注意喚起」が生きる

　昨夜はほとんど眠れませんでした。23時、2時、5時、6時とお客さまのホームページに攻撃が行われ、緊急インシデントとなったからです。

　緊急インシデントとなると、問題を発見したセキュリティアナリストから筆者の携帯電話へ連絡が入ります。耳元のすぐ近くで振動している携帯電話を探して、お客さまへの連絡の指示をして再び眠りへ。24時間セキュリティアナリストから電話が入りますので、電話を切るとすぐに眠れることが特技になりました。そんな筆者でもさすがに昨夜はつらく、重い頭のまま出勤しました。「今日も昨日のように攻撃が続くのかなあ。何とかして攻撃を止められないかな」と考えながら、電車に揺られていました。

　昨日の注意喚起を見たお客さまやJSOC勤務者以外の社員からの問い合わせもたくさんありました。

被害を受ける環境はどのようなものか？
攻撃されていることを確認する方法は？
どこのログを見ればよいのか？
ファイアウォールのログに同種と思われる攻撃が認められたが、どうすればいいか？
現在の攻撃状況はどうなのか？

など、たくさんの問い合わせがありました。筆者個人あてにもお客さまからメールの問い合わせが来ていました。「お客さまに頼りされている」――そんな信頼関係とうれしさがセキュリティアナリストの体を動かしています。また＠ITをはじめ、いくつかのニュースサイトで取り上げていただいたことで、多くの人への注意喚起ができたのではないかと思っています。1件でも被害が未然に防げたのであれば、セキュリティアナリストみょうりに尽きます。

【関連記事】

NewsInsight －＠IT （2008年3月12日）
SQLインジェクション攻撃の波が再来、通常の70～100倍に
http://www.atmarkit.co.jp/news/200803/12/sqlinjection.html

NewsInsight －＠IT （2008年3月27日）
SQLインジェクション攻撃の波はまだ終わっていない
http://www.atmarkit.co.jp/news/200803/27/lac.html

　お昼の時間くらいからSQLインジェクションの攻撃は停止し、悪意のあるホームページへのアクセスもできなくなりました。攻撃者がサーバを停止したのかは不明ですが、「これで今夜は眠れそうだな」と安心しました。ホームページへのアクセスができなくなったことで、改ざんされたホームページへアクセスした利用者への被害が拡大することがなくなったこともうれしいことでした。

　次の心配は、攻撃者が別のIPアドレスから攻撃を再開してくることでした。攻撃元IPアドレスをファイアウォールやサーバでアクセス制御したとしても、別のIPアドレスから攻撃が行われれば被害に遭う可能性があります。さらに接続されるホームページから、次にリンクされるホームページはまだ停止していませんでしたので、別の攻撃の発生によってそちらに接続される可能性も残っています。また、悪意のあるホームページがいつ活動を再開するか分かりません。お客さまのシステムに脆弱性がなくなる日までセキュリティアナリストは戦い続けるのです。

　攻撃が収まり、ほっと一息ついたのもつかの間、次は今回の攻撃の詳細な調査に取り掛かりました。調査する対象は「攻撃の手法」「悪意のあるホームページ」です。攻撃の手法はSQLインジェクションであるということは分かっていましたが、その詳細までは調べきれていません。

　そこで、「ホームページ診断サービス」のメンバーや、データベースのセキュリティに詳しいサイバーリスク総合研究所の「データベースセキュリティ研究所」のメンバーとともに今回の攻撃手法に関する情報交換を行いました。ここでは詳細を割愛しますが、攻撃の特徴は、「IDS、IPSの検知機能を回避するような難読化が行われていること」でした。特にIDS、IPSの検知回避を明らかに狙っているところが悪質な攻撃である証拠です。

　悪意のあるホームページは、5人のセキュリティアナリストとサイバーリスク総合研究所のメンバーが手分けをしながら解析を行いました。その結果、悪意のあるホームページに接続されてしまった利用者には、RealPlayerの脆弱性やMDAC（Microsoft Data Access Components）の脆弱性（MS06-014）を狙った攻撃コードが送り込まれることが分かりました。これらの脆弱性を狙った攻撃コードは、このような攻撃にはよく悪用されますが、今回の攻撃コードも難読化されていました。

【関連記事】

緊急レベル含む5個のセキュリティ修正が公開（MS06-013～017）
http://www.atmarkit.co.jp/fwin2k/hotfix/ms06-013-017/ms06-013-017.html

Windows TIPS
MDACのバージョン調査ツールを利用する
http://www.atmarkit.co.jp/fwin2k/win2ktips/384mdactool/mdactool.html

MDACを新バージョンにアップグレードする方法
http://www.atmarkit.co.jp/fwin2k/win2ktips/912mdacupg/mdacupg.html

　新たなインシデントが発生すると、セキュリティアナリストの中で必ず議論に上がることがあります。それは、「この攻撃を検知するシグネチャを追加・修正するべきかどうか？」ということです。攻撃者は攻撃を検知されないための手法を次々と使います。今回検知できた攻撃であっても、明日検知できなくなるかもしれません。それに追従していくため、われわれはシグネチャの追加・修正を行う必要があります。今回の攻撃内容のSQLインジェクションはわれわれが独自で開発したシグネチャで検知していますが、さらに検知精度を向上させるため、新たなシグネチャの追加を検討しています。

3月14日（金）――事態は徐々に収束

　前日のお昼ごろから攻撃は停止していたため、昨夜はぐっすり眠ることができました。朝からお客さまのところを訪問して、最近のトピックをお話しする仕事でしたが、やはり今回のSQLインジェクションの話題で盛り上がりました。幸いなことにJSOC監視運用をご利用のお客さまで、今回の攻撃によって被害を受けた方はいらっしゃらないようでしたが、まだ気が抜けません。今日もお客さまからたくさんの問い合わせをいただきました。このような緊急事態に頼りにしていただけるときが、セキュリティアナリストをやっていてよかったなと感じる瞬間です。

　午後からは自社でのミーティングに参加していましたが、上司に「このミーティングに参加していても大丈夫な状況なのか」と声を掛けていただきました。昨日の時点で攻撃が収まらなかった場合、このミーティングには参加することができませんでしたが、予定を変更することなく無事に過ごすことができました。

3月17日（月）――戦い終えて

　週末も大きなインシデントはなく、筆者は飛び回ることなく仕事ができました。JSOCからの緊急の電話もなく、悪意のあるホームページもアクセスできない状況のままです。「しばらくこの平和な状況が続いてほしい」と思いつつ、今日もJSOCに出勤しました。

　夕方から社内での情報共有のために、社内勉強会を開催しました。12日からドタバタ過ごしてきましたが、要所要所で今回の事件のいきさつをまとめていたおかげで、資料を準備する手間が省け、熱が冷めないうちに開催することができました。勉強会には約30人が参加し、大変盛り上がり、熱い議論が行われました。参加できなかったほかの社員からの多数のリクエストをもらい、第2回、第3回の勉強会も予定しています。

　わたしたちラックでは、このようなインシデントが発生した際には、技術者だけでなく営業やコンサルタントにいたるまで情報共有する文化があり、それらの蓄積がお客さまへの提案力や品質につながっているのだと自負しています。

実は2007年11月と12月にも同様の攻撃が

　実は今回の攻撃が行われる1週間前の3月3日ごろから、いくつかのホームページだけを狙った攻撃が行われていました。この攻撃者のIPアドレスは昨年11月、12月から攻撃を行っているものであり、JSOCではこのIPアドレスからの攻撃をマークしていました。2008年に入り、1月、2月はほとんど攻撃は行われなくなっていましたが、3月に入り再び攻撃が行われ始めたので、われわれは注意レベルを上げて監視していました。

　そんな監視状況下で、11日からこのIPアドレスとは別のIPアドレスからの攻撃が急増したのです。IPアドレスは異なるものの、whois情報を参照すると同じ国からのものです。同一犯である確証はありませんが、同様の手法を用いて特定のホームページを攻撃していることからJSOCでは同一犯、もしくは同じグループの攻撃と考えています。

　今回のSQLインジェクションによって改ざんされたホームページの被害を、検索エンジンを使って調べてみると1万件以上あるようです。それを見ると、1週間以上も改ざんされたままになっているホームページがたくさん残っています。セキュリティアナリストのわたしたちとしては、少しでも多くのホームページの管理者が改ざんに気付き、対策を実施していただくことを願っています。今回のSQLインジェクションの攻撃への対策としては、新しく注意すべき特別なものはありません。いままでいわれてきたセキュリティ対策をしっかりとすることが大事です。

　前編後編と2回にわたり、3月12日のSQLインジェクション対応の舞台裏を紹介させていただきました。このように大きなインシデントが発生すると、ラックではセキュリティ監視運用チームのJSOCだけではなく、さまざまな部門にいるメンバーと連携して対応します。緊急時こそ、指示を待たずに能動的に動くことが求められますが、そのためには普段からのコミュニケーションが重要です。

　今夜も緊急時の連携を深めるため、仕事を終えたセキュリティアナリストはビール片手に熱い議論を展開するのでした。

Profile

川口　洋（かわぐち　ひろし）
株式会社ラック
JSOCチーフエバンジェリスト兼セキュリティアナリスト

ラック入社後、IDSやファイアウォールなどの運用・管理業務を経て、セキュリティアナリストとして、JSOC監視サービスに従事し、日々セキュリティインシデントに対応。

アナリストリーダとして、セキュリティイベントの分析とともに、IDS／IPSに適用するJSOCオリジナルシグネチャ(JSIG)の作成、チューニングを実施し、監視サービスの技術面のコントロールを行う。

現在、JSOCチーフエバンジェリスト兼セキュリティアナリストとして、JSOC全体の技術面をコントロールし、監視報告会、セミナー講師など対外的な活動も行う。

「川口洋のセキュリティ・プライベート・アイズ」バックナンバー