データで見るSQLインジェクション渦

アナリストが見逃せなかった、攻撃の“ある傾向”


川口 洋
株式会社ラック
JSOCチーフエバンジェリスト兼セキュリティアナリスト
2008/7/24


 SQLインジェクションの目的も変化

 2008年5月以降、攻撃者がSQLインジェクションを行う目的も変化しています。以下のグラフをご参照ください。

図2 SQLインジェクションの目的別件数推移

 積み上げグラフの下側(青)が情報漏えいを狙ったSQLインジェクション、上側(赤)がコンテンツの改ざんを狙ったSQLインジェクションの攻撃件数です。4月以前は攻撃対象サイトからの情報漏えいを狙ったSQLインジェクションが大部分を占めていました。しかし、5月から攻撃対象サイトのコンテンツを改ざんするSQLインジェクションの割合が増加しています。コンテンツ改ざんを行うことで、セキュリティ対策が行われていないであろう一般のユーザーを悪意のあるサイトへ誘導するよう目的が変化しています。

図3 2008年6月におけるSQLインジェクションの目的別件数推移

 このグラフは2008年6月のSQLインジェクションの攻撃件数の推移を示しています。よく見ると6月19日のSQLインジェクションがごく少数になっていることが分かります。また6月20日からは攻撃件数が急激に増加しています。私たちは、この点に着目しました。

 6月19日は、JSOCのお客さますべてでSQLインジェクションを検知していない状態になっています。お客さまごとに使用されているIDS/IPS機器のベンダが異なっているため、特定機種のシグネチャの影響で検知しなかったとは考えにくいのです。

 これは私の推測ではありますが、攻撃者は1人か2人のごく少数の人間が実行しており、6月19日に何らかの理由で攻撃を一時中断したのではないかと考えています。6月19日にSQLインジェクションを行う攻撃環境である、ボットやツールのメンテナンスを行い、6月20日から一斉に攻撃を再開したのではないでしょうか。あくまで推測の域を出ませんが、特定の人間によって今回の事件が引き起こされている気がしてなりません。

図4 2008年7月に大量の攻撃が行われている

 さらに7月1日の1日だけ、コンテンツ改ざんを狙ったSQLインジェクションが大量に行われました。攻撃は1日で収束していますが、再度攻撃が増加する可能性もあるため、気は抜けません。

 無視できない広告サイトの改ざん

 SQLインジェクションによって広告サイトが改ざんされ、広告を表示しているサイトの表示に異常をきたしている事例も複数発生しています。

 広告やアフィリエイトを表示しているポータルサイトやブログサイトは多数存在します。ポータルサイト側が広告データを表示するときに、攻撃者からポータルサイトへ送信された攻撃リクエストとほぼ同一の(厳密にはサイトの仕組みに依存しますが)攻撃リクエストが広告サイトにも送信されます。つまり、ポータルサイトを踏み台にし、その先にある広告サイトへ攻撃を仕掛けることができてしまうのです。

図5 広告バナーなどを配信するサーバへの攻撃事例

 これにより、図5のポータルサイトAにSQLインジェクション脆弱(ぜいじゃく)性が無くても、広告サイトのWebアプリケーションにSQLインジェクション脆弱性があれば、広告データが改ざんされてしまいます。広告データとしてHTMLのパーツを配信していた場合、その広告サイトから配信される広告データが汚染される可能性もあります。

 この問題は単純にポータルサイトが改ざんされることよりも複雑です。それぞれ以下のような問題があります。

  • [ポータルサイトAの問題]
      自社のセキュリティ対策は万全であり、SQLインジェクションによる影響を受けなかったが、改ざんされた広告データを表示することで、参照したユーザーからポータルサイトAが改ざんを受けたかのように疑われてしまう。

  • [ポータルサイトBの問題]
     攻撃を受けていないにもかかわらず、広告サイトから改ざんされた広告データが配信され、ユーザーからポータルサイトBが改ざんを受けたかのように疑われてしまう。

  • [ポータルサイトを参照するユーザーの問題]
     信用してアクセスしているはずのポータルサイトから改ざんされた広告データを送信され、結果的にマルウェアを配布しているサイトに誘導されてしまう。

  • [広告サイトの問題]
      広告データが改ざんされた結果、広告主の信頼・ブランドが低下を招いてしまう。また、この問題が頻発した場合、契約の打ち切りの可能性が発生してしまう。

 他社(他者)のデータを自社サイトに表示する仕様のシステムを使う場合には、他社のセキュリティ対策も考慮しておかなければ、せっかくのセキュリティ投資の効果を最大化することはできません。ポータルサイト側の担当者としては広告サイト側の担当者に対して、セキュリティ対策の実施状況を確認することをお勧めします。また、広告サイト側の担当者としては、自社のビジネスシステムを守るためにもセキュリティ対策の状況を確認することをお勧めします。

2/3

Index
アナリストが見逃せなかった、攻撃の“ある傾向”
  Page1
2008年3月に注意喚起を行ったSQLインジェクションのいま
攻撃件数、攻撃元IPアドレス数、悪意のあるページが激増
Page2
SQLインジェクションの目的も変化
無視できない広告サイトの改ざん
  Page3
攻撃手法の進化〜IDS/IPS回避行動の進行〜
知ることは“力”なり

Security&Trust記事一覧


Security&Trust フォーラム 新着記事
@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)

注目のテーマ

Security & Trust 記事ランキング

本日 月間