SQLインジェクションでfuckjp0.jsを挿入--ラックが正規サイト改ざんを解説

小山安博

2008-03-27 21:45:01

　Webアプリケーションの脆弱性を狙い、Webサイトを書き換えて個人ユーザーのPCの情報を盗むなどする攻撃が、3月に入ってから頻発している。セキュリティベンダーのラックによる調査でその攻撃の一端が明らかになった。

　今回の攻撃では、WebサーバのIISとRDBMSのMicrosoft SQL Server上で動作するWebアプリケーションを攻撃対象としている。アプリケーション上に脆弱性が存在し、DBの文字列型が一斉に書き換えられ、サイト上にスクリプトが埋め込まれる――という攻撃だ。IIS＋MS SQLの問題ではなく、Webアプリケーションの脆弱性に問題があるために攻撃が実施される。

攻撃の流れ

攻撃に使われるJavaScriptは、同社が手に入れたもので2つ。さらに1つの存在を確認しているという。「fuckjp0.js」は国内向けの攻撃に使われていると見られている

　攻撃は、Webアプリケーションの脆弱性を悪用。書き換えられたサイトにアクセスした一般ユーザーのブラウザ上でスクリプトがひそかに実行され、攻撃者が用意したサーバにアクセスさせられ、さらに不正なプログラムが置かれたサーバに転送される。1ユーザーに対して2つのサーバに転送され、1つはダウンローダーがダウンロードされてマルウェアがインストールされる。もう1つはユーザー環境のトラッキングが行われるという。

実際に書き換えられたサイトの例

クライアント側ではOSやアプリケーションの脆弱性を突く。RealPlayerと「MS06-014」が特に狙われているという。後半のアプリケーションは主に中国で使われるアプリケーションだが、これは過去の攻撃に使われたコードが残っているものと見られる

1 2 次のページへ ≫

関連情報(6件)

ホワイトペーパー

RSS | サイトマップ

ブログを書く(CNET_IDのご登録が必要です)

[ログイン] [ログアウト]

folllow builer on twitter

新着記事
特集
ブログ

レッドハット、「OpenStack Platform 14」を発表--「Red Hat OpenShift Container Platform」との連携を強化 2018-11-14 11:11:00
「Windows Server 2019」の提供も再開 2018-11-14 10:56:00
新着一覧 »

アドビ、Photoshopの機能追加を含めCreative Cloudをアップデート 2012-12-17 16:50:00
システム担当者がより楽しめる「007 スカイフォール」の見方--MI6が遭遇する手痛いピンチは、こうすれば防げた？ 2012-11-27 11:00:00
Javaエバンジェリストが語る「JavaOne 2012 San Francisco」の見どころ～築き上げられる『未来のJavaの姿』～ 2012-11-19 15:30:00
企業ITのクラウド化と多様化するPaaS 2012-07-31 09:00:00
FAQ：Herokuと既存システムはどうやって連携させるの？ 2012-07-12 09:00:00
特集一覧 »

“海上オフィス”と“コグニティブ・ロボット”--ドリーム・アーツが2つのびっくりプロジェクトで目指すのは…… 2017-04-01 00:00:00
ドリーム・アーツ、iPadで営業活動を革新するクラウドサービス「YUKARi」を発表 2013-09-11 10:30:00
日本サード・パーティ、Twitterマイクロサイト構築サービス「Wayin Hub」を国内展開 2013-06-27 08:00:00
デル、Dell SonicWALL SuperMassive 9000シリーズを発表--キャリア向けの性能を企業にも 2013-05-16 23:00:00
IBC、性能監視アプライアンスの新製品「System Answer G2 RAID Appliance」を発売 2013-04-19 09:00:00
ブログ一覧 »

企画特集

AWSセミナー講演レポート
クラウドが支える「ものづくりの最前線」
データ活用、そのノウハウとは
５つのSでデータマネジメント改善
分析が失敗する原因の「４割」はプアなデータ
「SI＋セキュリティ」で企業を守る
信頼できるパートナーがシステムを監視！
重要なのは有事の際に”どう復旧するか”
事例で知るAWS徹底活用！
クラウド移行と同時に何をしたのか？
負荷を減らして「攻め」に転じる方法とは
ビジネス視点で評価せよ！
競争に勝つクラウドは「ハイブリッド」
AI・IoT時代に、スピードとコストの現実解
理想は意識されない企業インフラ
安全で当たり前なネットワークとは
働き方改革のためのITインフラ革命に迫る！
爆発的なデータ増にどう対応するか
非構造化データは増え続ける・・・とりわけ
顕著なM&E業界を例に、その救世主を紹介
「自由 vs 管理の戦い」の行く末
生産性とセキュリティの矛盾を乗り越えろ！
2020に向けた働き方改革の新常識とは？
漫画：クラウド化はいばら道？
リプレース以外にも実は大事なオンプレ経験
適切なパートナー選びできてますか？
デジ変した世界の勝ちパターン探る
デジタル変革は起き、これまでの市場ルール
は破壊された。新たな世界で生き残る術とは
AWSセミナー講演レポート
1年で約4,000台の環境をAWSへ移行完了！
そのポイントと効果を語る
必須！新局面へのネットワーク強化
ネットワークをボトルネックにしない！
テクノロジで事業の可能性を広げるために
ワンクリックで会議に参加！
必要なものはブラウザだけ！？
クラウド型Web会議ソリューション！
ひとり情シス、セキュリティの戦い
高度化する一方の攻撃、お手上げになる前に
--内部ネットワークに潜む脅威へ4つの対策!
AWSセミナー講演レポート
マイグレーションからセキュリティ、
運用管理の可視化、自動化まで識者が語る
AWSセミナー講演レポート
競争力を飛躍させる「ものづくり×IoT」
機会学習やAIの活用を実例で理解する
真の生産性向上を成す働き方とは
労働人口が減少しても、企業は成長を続けな
ければならない。生産性をいかに高めるか
次世代オフィスに新たなリスク！？
働き方改革やIoT化でデバイスも多様化！
従来の無線アクセス環境に新たな「穴」が…
マンガで解説！HCIの新常識
ハードウェア環境は変えない！
「選択の自由」がもたらす新しいHCIとは？
便利なウェブメールこそ最も危険!?
メールのアーカイブに未着手な企業は要注意
ビジネス係争やセキュリティリスクに対処！
AWSセミナー講演レポート
AWS移行で気になるマイグレやDR、
セキュリティをエキスパートが指南
最適なアナリティクス環境は何か
AI時代に不可欠なアナリティクス
ビジネス課題に最速対応するための手法
5G時代のネットワーク運用最前線
デジタル変革は5Gでさらに加速する！？
ノキアの提唱する「DX5つのステップ」とは
クラウド活用の新潮流
クラウドはコスト削減、生産性向上だけの
道具ではない
え！情シスは私だけ？さあどうする
IT部門が確立されにくい中堅・中小企業で
ひとり情シスが成長するヒントを探る！
衝撃！サイバー攻撃の9割はメール
それが有効であるから依然としてメール攻撃
はなくならない。さらに急増するBECとは？
特集：ブロック至上主義からの脱却
新潮流とも言える「セキュリティの可視化」
選定・導入・運用の複合的な視点で紹介
増え続けるIT部門の業務…
避けて通れない「マルチクラウド活用」
でも人が足りない！じゃあどうする？！
AI予測モデル開発と知見を活かす
データによる意思決定をタイムリーに！
AIの功利性、実効性はこう高める！
特集：AWS活用はここまできた
「ビジネスを支えるIT」から
「ビジネスの価値を創出するIT」へ
漫画：IoT時代の落とし穴？
ネットワークのオープン化の中で、
見落としがちなセキュリティ対策をチェック
結局ここで手を抜いたら終わり…！
脅威の「侵入経路」はエンドポイントから！
ここの防御だけは現状維持では許されない…
AWSセミナー講演レポート
ソニー銀行のAWSによる可用性対策を公開
大阪ローカルリージョンの活用ポイントも
IoT時代の新たなモノづくり
フィジカルとデジタルの“融合”が製造業に
もたらすインパクトとは？詳細はコチラ＞＞
【新着あり】DX時代の生存術
特集ページに最新の読み物と資料を追加！
2020年に向けた働き方改革セミナーレポート

CNET_ID | RSSフィード | サイトマップ

ASAHI INTERACTIVE sites: CNET Japan | ZDNet Japan | builder by ZDNet Japan | TechRepublic Japan | Tetsudo.com

International Business Site for Developer: Builder.com | Builder UK | TechRepublic

The Japanese edition of 'ZDNet' is published under license from CBS Interactive, Inc., San Francisco, CA, USA.Editorial items appearing in 'builder by ZDNet Japan' that were originally published in the US Edition of 'ZDNet', 'CNET', 'TechRepublic', and 'CNET News.com' are the copyright properties of CBS Interactive, Inc. or its suppliers. Copyright © CBS Interactive, Inc. All Rights Reserved. 'ZDNet', 'CNET' and 'CNET News.com' are trademarks of CBS Interactive, Inc.

個人情報保護方針 | 利用規約 | 広告について |
運営会社

SQLインジェクションでfuckjp0.jsを挿入--ラックが正規サイト改ざんを解説

講演資料：AWS導入からはじめるスケーラブルなオフィス運営と未来のコンタクトセンター

講演関連資料：クラウド型コンタクトセンター導入の3つのポイント

講演資料：Amazon Connectから始める、広がる、CX向上のヒント

世界的コンサルが直面したITプロジェクトの課題とは？可視化・省力化などを果たした解決への道に迫る

アプリプロジェクトを成功させるには？マーケターが把握しておきたいアプリ企画～開発まで

「Nutanix Software Choice」新たな選択肢で得られる本当の価値とは？