データで見るSQLインジェクション渦
アナリストが見逃せなかった、攻撃の“ある傾向”
川口 洋
株式会社ラック
JSOCチーフエバンジェリスト兼セキュリティアナリスト
2008/7/24
SQLインジェクションの目的も変化
2008年5月以降、攻撃者がSQLインジェクションを行う目的も変化しています。以下のグラフをご参照ください。
 |
| 図2 SQLインジェクションの目的別件数推移 |
積み上げグラフの下側(青)が情報漏えいを狙ったSQLインジェクション、上側(赤)がコンテンツの改ざんを狙ったSQLインジェクションの攻撃件数です。4月以前は攻撃対象サイトからの情報漏えいを狙ったSQLインジェクションが大部分を占めていました。しかし、5月から攻撃対象サイトのコンテンツを改ざんするSQLインジェクションの割合が増加しています。コンテンツ改ざんを行うことで、セキュリティ対策が行われていないであろう一般のユーザーを悪意のあるサイトへ誘導するよう目的が変化しています。
 |
| 図3 2008年6月におけるSQLインジェクションの目的別件数推移 |
このグラフは2008年6月のSQLインジェクションの攻撃件数の推移を示しています。よく見ると6月19日のSQLインジェクションがごく少数になっていることが分かります。また6月20日からは攻撃件数が急激に増加しています。私たちは、この点に着目しました。
6月19日は、JSOCのお客さますべてでSQLインジェクションを検知していない状態になっています。お客さまごとに使用されているIDS/IPS機器のベンダが異なっているため、特定機種のシグネチャの影響で検知しなかったとは考えにくいのです。
これは私の推測ではありますが、攻撃者は1人か2人のごく少数の人間が実行しており、6月19日に何らかの理由で攻撃を一時中断したのではないかと考えています。6月19日にSQLインジェクションを行う攻撃環境である、ボットやツールのメンテナンスを行い、6月20日から一斉に攻撃を再開したのではないでしょうか。あくまで推測の域を出ませんが、特定の人間によって今回の事件が引き起こされている気がしてなりません。
 |
| 図4 2008年7月に大量の攻撃が行われている |
さらに7月1日の1日だけ、コンテンツ改ざんを狙ったSQLインジェクションが大量に行われました。攻撃は1日で収束していますが、再度攻撃が増加する可能性もあるため、気は抜けません。
無視できない広告サイトの改ざん
SQLインジェクションによって広告サイトが改ざんされ、広告を表示しているサイトの表示に異常をきたしている事例も複数発生しています。
広告やアフィリエイトを表示しているポータルサイトやブログサイトは多数存在します。ポータルサイト側が広告データを表示するときに、攻撃者からポータルサイトへ送信された攻撃リクエストとほぼ同一の(厳密にはサイトの仕組みに依存しますが)攻撃リクエストが広告サイトにも送信されます。つまり、ポータルサイトを踏み台にし、その先にある広告サイトへ攻撃を仕掛けることができてしまうのです。
 |
| 図5 広告バナーなどを配信するサーバへの攻撃事例 |
これにより、図5のポータルサイトAにSQLインジェクション脆弱(ぜいじゃく)性が無くても、広告サイトのWebアプリケーションにSQLインジェクション脆弱性があれば、広告データが改ざんされてしまいます。広告データとしてHTMLのパーツを配信していた場合、その広告サイトから配信される広告データが汚染される可能性もあります。
この問題は単純にポータルサイトが改ざんされることよりも複雑です。それぞれ以下のような問題があります。
- [ポータルサイトAの問題]
自社のセキュリティ対策は万全であり、SQLインジェクションによる影響を受けなかったが、改ざんされた広告データを表示することで、参照したユーザーからポータルサイトAが改ざんを受けたかのように疑われてしまう。
- [ポータルサイトBの問題]
攻撃を受けていないにもかかわらず、広告サイトから改ざんされた広告データが配信され、ユーザーからポータルサイトBが改ざんを受けたかのように疑われてしまう。
- [ポータルサイトを参照するユーザーの問題]
信用してアクセスしているはずのポータルサイトから改ざんされた広告データを送信され、結果的にマルウェアを配布しているサイトに誘導されてしまう。
- [広告サイトの問題]
広告データが改ざんされた結果、広告主の信頼・ブランドが低下を招いてしまう。また、この問題が頻発した場合、契約の打ち切りの可能性が発生してしまう。
他社(他者)のデータを自社サイトに表示する仕様のシステムを使う場合には、他社のセキュリティ対策も考慮しておかなければ、せっかくのセキュリティ投資の効果を最大化することはできません。ポータルサイト側の担当者としては広告サイト側の担当者に対して、セキュリティ対策の実施状況を確認することをお勧めします。また、広告サイト側の担当者としては、自社のビジネスシステムを守るためにもセキュリティ対策の状況を確認することをお勧めします。
 |
2/3 |
 |
| Index | |
| アナリストが見逃せなかった、攻撃の“ある傾向” | |
| Page1 2008年3月に注意喚起を行ったSQLインジェクションのいま 攻撃件数、攻撃元IPアドレス数、悪意のあるページが激増 |
|
 |
Page2 SQLインジェクションの目的も変化 無視できない広告サイトの改ざん |
| Page3 攻撃手法の進化〜IDS/IPS回避行動の進行〜 知ることは“力”なり |
|
 |
Security&Trust記事一覧 |
- Windows起動前後にデバイスを守る工夫、ルートキットを防ぐ (2017/7/24)
Windows 10が備える多彩なセキュリティ対策機能を丸ごと理解するには、5つのスタックに分けて順に押さえていくことが早道だ。連載第1回は、Windows起動前の「デバイスの保護」とHyper-Vを用いたセキュリティ構成について紹介する。 - WannaCryがホンダやマクドにも。中学3年生が作ったランサムウェアの正体も話題に (2017/7/11)
2017年6月のセキュリティクラスタでは、「WannaCry」の残り火にやられたホンダや亜種に感染したマクドナルドに注目が集まった他、ランサムウェアを作成して配布した中学3年生、ランサムウェアに降伏してしまった韓国のホスティング企業など、5月に引き続きランサムウェアの話題が席巻していました。 - Recruit-CSIRTがマルウェアの「培養」用に内製した動的解析環境、その目的と工夫とは (2017/7/10)
代表的なマルウェア解析方法を紹介し、自社のみに影響があるマルウェアを「培養」するために構築した動的解析環境について解説する - 侵入されることを前提に考える――内部対策はログ管理から (2017/7/5)
人員リソースや予算の限られた中堅・中小企業にとって、大企業で導入されがちな、過剰に高機能で管理負荷の高いセキュリティ対策を施すのは現実的ではない。本連載では、中堅・中小企業が目指すべきセキュリティ対策の“現実解“を、特に標的型攻撃(APT:Advanced Persistent Threat)対策の観点から考える。
 |
|
|
|
|
