SQLインジェクションでfuckjp0.jsを挿入--ラックが正規サイト改ざんを解説

　Webアプリケーションの脆弱性を狙い、Webサイトを書き換えて個人ユーザーのPCの情報を盗むなどする攻撃が、3月に入ってから頻発している。セキュリティベンダーのラックによる調査でその攻撃の一端が明らかになった。

　今回の攻撃では、WebサーバのIISとRDBMSのMicrosoft SQL Server上で動作するWebアプリケーションを攻撃対象としている。アプリケーション上に脆弱性が存在し、DBの文字列型が一斉に書き換えられ、サイト上にスクリプトが埋め込まれる――という攻撃だ。IIS＋MS SQLの問題ではなく、Webアプリケーションの脆弱性に問題があるために攻撃が実施される。

攻撃の流れ

攻撃に使われるJavaScriptは、同社が手に入れたもので2つ。さらに1つの存在を確認しているという。「fuckjp0.js」は国内向けの攻撃に使われていると見られている

　攻撃は、Webアプリケーションの脆弱性を悪用。書き換えられたサイトにアクセスした一般ユーザーのブラウザ上でスクリプトがひそかに実行され、攻撃者が用意したサーバにアクセスさせられ、さらに不正なプログラムが置かれたサーバに転送される。1ユーザーに対して2つのサーバに転送され、1つはダウンローダーがダウンロードされてマルウェアがインストールされる。もう1つはユーザー環境のトラッキングが行われるという。

実際に書き換えられたサイトの例

クライアント側ではOSやアプリケーションの脆弱性を突く。RealPlayerと「MS06-014」が特に狙われているという。後半のアプリケーションは主に中国で使われるアプリケーションだが、これは過去の攻撃に使われたコードが残っているものと見られる