古くて新しい脅威、Web改ざん:こうしてWebは改ざんされた(1)(2/2 ページ)
この連載では、数あるサイバー攻撃の中でも一般ユーザーに大きな影響を及ぼしている「ドライブ・バイ・ダウンロード攻撃」の手口の変遷と対策について紹介していきます。
SQLインジェクションによるサイト改ざん
2008年3月には、SQLインジェクション攻撃によるWebサイトの改ざん、それに伴う不正プログラムのシーケンシャル攻撃が相次いで確認されました。
【関連記事】
川口洋のセキュリティ・プライベート・アイズ(1) あの「SQLインジェクション」騒動の裏で(前編)
http://www.atmarkit.co.jp/fsecurity/column/kawaguchi/001.html
川口洋のセキュリティ・プライベート・アイズ(2) あの「SQLインジェクション」騒動の裏で(後編)
http://www.atmarkit.co.jp/fsecurity/column/kawaguchi/002.html
SQLインジェクション攻撃といえば、Webサーバを経由してデータベースから顧客情報などを不正に取得するための攻撃手法として、当時からその存在は知られていました。しかしその頃は、まだ「SQLインジェクション」と「サイト改ざん」を結びつけて考えられない管理者も多く見られました。
当時すでに、多くのWebサーバではCMS(Content Management System)などにより、Webコンテンツをデータベース上で一元管理していました。こうした構成を取るWebサーバの一部には、データベースと連携するためのWebアプリケーションに脆弱性を抱えているものもありました。
攻撃者はこのような脆弱性を抱えるWebアプリケーションを標的としました。攻撃ツールを使い、無差別に、データベースで管理されているWebコンテンツへ不正なスクリプトを注入(インジェクション)することを試みたのです。この結果、正規のサイトが改ざんされ、シーケンシャル攻撃におけるリダイレクタの役割を担うケースが数多く報告されました。
前述の「WebAttacker」などのツールがロシアで販売されていたのに対し、SQLインジェクション攻撃ツールは、「SQL注入漏洞」などと掲げ、中国のアンダーグラウンドフォーラムで販売されているケースが見られました。また、リダイレクタをホストするサーバの位置情報が中国であることも、たびたび確認されています。
当初、攻撃ツールは、Microsoft Active Server Pages(ASP)とMicrosoft SQL Serverの組み合わせのみを標的としたものが数多く確認されていました。しかしその後、攻撃ツールは進化を遂げています。さまざまなWebアプリケーション環境やデータベースを対象にしたものが確認されるようになりました。また、攻撃ツールの海賊版や劣化コピーなどが横行しました。これにより攻撃ツールの入手は容易となり、愉快犯も攻撃ツールを使った改ざんに参入してきました。
こうした攻撃ツールは無差別に攻撃を仕掛けます。このため、不完全な形(攻撃として成立しない形)でデータベースに不正なスクリプトを書き込むことがたびたびありました。また、ツールごとに特有の痕跡を残すものも見られました。
そこで、研究者の中にはこの傾向を逆手にとって、特徴的な傾向を検索クエリとして、インターネット検索エンジンで探すことがあります。これにより、被害規模の推定や使用されている攻撃ツールの特定ができ、対策手法の1つとして利用されています。
TROJ_ASPROXがもたらした被害
SQLインジェクションによる改ざん攻撃を自動化した事例として、「TROJ_ASPROX」ファミリを紹介します。同不正プログラムファミリにおいては、Microsoft Active Server Pagesで作成されたフォーム(例:ログインページ、検索ページ、フィードバックページなどの入力要求を受け付けているもの、または動的にページを生成しているもの)を使用する正規サイトを探し出します。
検索されたページに対し、SQLインジェクション攻撃を仕掛けることで、不正プログラム感染サイトへ転送させるコードを埋め込む改ざん攻撃が行われます。
当時(2008年7月17日時点)のトレンドマイクロの調べによれば、最大で「21万ページ(国内:9460ページ)」が改ざんされた可能性が推定されていました。リダイレクタの役割を担っていたドメイン数が250件を超えるなど、その感染規模の大きさが注目されました。
被害者は複数のリダイレクタを経て、犯罪者の最終目的となる不正プログラム配布サイトへたどりつきます。これを「インフェクタ」と呼びます。TROJ_ASPROXファミリのインフェクタサイトにあった不正プログラムは偽セキュリティソフトでした。すなわち、一連の攻撃は不当な営業活動を目的に行われたDBD攻撃であったといえます。
ここまでで、DBD攻撃の誕生とExploit KitまたはSQLインジェクションによる改ざん攻撃、一連の処理を不正プログラムによって自動化した手口を見てきました。次回は2009年に猛威を振るった「Gumblar」、そしてコンテンツの書き換えを伴わないサイト改ざん、「Darkleech Apache Module」について解説を行います。
林憲明
トレンドマイクロ株式会社
フォワードルッキングスレットリサーチ シニアリサーチャー
大学卒業後、2002年トレンドマイクロ入社。国内専門のウイルス解析機関である「リージョナルトレンドラボ」を経て、2010年に新設されたグローバルの最先端脅威研究組織である「フォワードルッキングスレットリサーチ」へ異動。現在に至る。
「先読み(フォワードルッキング)係」として、テクノロジやユーザーの調査/分析にとどまらず、脅威を生み出す側(犯罪者)が何を狙い/計画しているかに着目し、トレンドマイクロが備えるべき製品/技術の方向性立案を担当している。
TM-SIRT(Trend Micro Security Incident Response Team)メンバーとして脅威動向分析を担当。
一般社団法人日本スマートフォンセキュリティ協会 技術部会 アプリケーションWG、ネットワークWG所属。2012年よりフィッシング対策協議会 運営委員も務める。
Copyright © ITmedia, Inc. All Rights Reserved.