SQLインジェクションでfuckjp0.jsを挿入--ラックが正規サイト改ざんを解説

小山安博

2008-03-27 21:45:01

　Webアプリケーションの脆弱性を狙い、Webサイトを書き換えて個人ユーザーのPCの情報を盗むなどする攻撃が、3月に入ってから頻発している。セキュリティベンダーのラックによる調査でその攻撃の一端が明らかになった。

　今回の攻撃では、WebサーバのIISとRDBMSのMicrosoft SQL Server上で動作するWebアプリケーションを攻撃対象としている。アプリケーション上に脆弱性が存在し、DBの文字列型が一斉に書き換えられ、サイト上にスクリプトが埋め込まれる――という攻撃だ。IIS＋MS SQLの問題ではなく、Webアプリケーションの脆弱性に問題があるために攻撃が実施される。

攻撃の流れ

攻撃に使われるJavaScriptは、同社が手に入れたもので2つ。さらに1つの存在を確認しているという。「fuckjp0.js」は国内向けの攻撃に使われていると見られている

　攻撃は、Webアプリケーションの脆弱性を悪用。書き換えられたサイトにアクセスした一般ユーザーのブラウザ上でスクリプトがひそかに実行され、攻撃者が用意したサーバにアクセスさせられ、さらに不正なプログラムが置かれたサーバに転送される。1ユーザーに対して2つのサーバに転送され、1つはダウンローダーがダウンロードされてマルウェアがインストールされる。もう1つはユーザー環境のトラッキングが行われるという。

実際に書き換えられたサイトの例

クライアント側ではOSやアプリケーションの脆弱性を突く。RealPlayerと「MS06-014」が特に狙われているという。後半のアプリケーションは主に中国で使われるアプリケーションだが、これは過去の攻撃に使われたコードが残っているものと見られる

1 2 次のページへ ≫

関連情報(6件)

ホワイトペーパー

RSS | サイトマップ

ブログを書く(CNET_IDのご登録が必要です)

[ログイン] [ログアウト]

folllow builer on twitter

新着記事
特集
ブログ

日立製作所、名刺サイズのCMOSアニーリングマシンを開発--IoT 機器に実装可能 2019-02-25 09:42:00
新着一覧 »

アドビ、Photoshopの機能追加を含めCreative Cloudをアップデート 2012-12-17 16:50:00
システム担当者がより楽しめる「007 スカイフォール」の見方--MI6が遭遇する手痛いピンチは、こうすれば防げた？ 2012-11-27 11:00:00
Javaエバンジェリストが語る「JavaOne 2012 San Francisco」の見どころ～築き上げられる『未来のJavaの姿』～ 2012-11-19 15:30:00
企業ITのクラウド化と多様化するPaaS 2012-07-31 09:00:00
FAQ：Herokuと既存システムはどうやって連携させるの？ 2012-07-12 09:00:00
特集一覧 »

“海上オフィス”と“コグニティブ・ロボット”--ドリーム・アーツが2つのびっくりプロジェクトで目指すのは…… 2017-04-01 00:00:00
ドリーム・アーツ、iPadで営業活動を革新するクラウドサービス「YUKARi」を発表 2013-09-11 10:30:00
日本サード・パーティ、Twitterマイクロサイト構築サービス「Wayin Hub」を国内展開 2013-06-27 08:00:00
デル、Dell SonicWALL SuperMassive 9000シリーズを発表--キャリア向けの性能を企業にも 2013-05-16 23:00:00
IBC、性能監視アプライアンスの新製品「System Answer G2 RAID Appliance」を発売 2013-04-19 09:00:00
ブログ一覧 »

企画特集

意外なメリット！有償MySQLの魅力
有償版だからこその5つのメリット！
いまこそもっとMySQLを活用しよう！
成功事例：安全性と利便性の両立
「ネットワーク分離」で安全性を保ったまま
機密データへ快適なアクセスを！
NWに悩まない次世代クラウド基盤！
高信頼サーバとVMware NSXの次世代基盤が
ヘアピン通信を解決しスループットを向上
衝撃！サイバー攻撃の9割はメール
それが有効であるから依然としてメール攻撃
はなくならない。さらに急増するBECとは？
兼任情シスでも、手は緩められない
総務が情シスを兼任する実情でセキュリティ
専任なんて夢物語。それでも対策は不可欠！
PTCがめざす新しい設計・製造の形
製造業を新段階へ進化させる製品が一堂に！
「設計の将来像」各場面に即したテクノロジ
DX時代に競争力の源泉となるHCI
市場競争に勝つためにはスピード感が不可欠
それを生み出すインフラ改革の事例を紹介
ビジネス視点で評価せよ！
競争に勝つクラウドは「ハイブリッド」
AI・IoT時代に、スピードとコストの現実解
必須の時代！AIチャットボットの力
問い合わせ業務の重要性を改めて認識の機運
コンタクトセンターを「パンク」させない！
いまVDI導入なら基盤はHCIが正解！
「HPE SimpliVity」ならリソースも簡単増設
利用者が増えても構築後の運用は悩み不要！
まさにインフラ担当者の希望の星！
ユーザー部門の無茶な要望にも楽々対応
マンガで解説！「HCI」の新常識 vol.2
デジ変した世界の勝ちパターン探る
デジタル変革は起き、これまでの市場ルール
は破壊された。新たな世界で生き残る術とは
VMware Cloud on AWSを徹底検証
VMware Cloud on AWSの検証結果を踏まえ
ハイブリッドクラウド実現方法に迫る！
漫画：未来型CASBが上陸！
約66万のクラウドサービスを判別し
セキュリティリスクの低減を
真の生産性向上を成す働き方とは
労働人口が減少しても、企業は成長を続けな
ければならない。生産性をいかに高めるか
悩ましい！生産性と管理強化の天秤
多様な働き方、デバイスがもたらす生産性とセキュリティのバランスをどう保てばよいか
熱視線！「次世代メガクラウド」
DRサイト構築やデータ保護の常識が変わる
「VMware Cloud on AWS」東京リージョン
IoT時代の新たなモノづくり
フィジカルとデジタルの“融合”が製造業に
もたらすインパクトとは？詳細はコチラ＞＞
働き方改革のカギはズバリこれ！
「セキュリティ」と「利便性」は両立するか
実現するためのノウハウをご紹介中＞＞
vFORUMレポ！次世代の構築・運用へ
「サイロ化リスク」に直面！今後のNW環境は
仮想化プラットフォームに置き換えられる！
これで万全！VDIスモールスタート
スモールスタートには意外な落とし穴が！
将来を見据えた構築術を伝授！
特集：ブロック至上主義からの脱却
新潮流とも言える「セキュリティの可視化」
選定・導入・運用の複合的な視点で紹介
特集：AWS活用はここまできた
「ビジネスを支えるIT」から
「ビジネスの価値を創出するIT」へ
結局ここで手を抜いたら終わり…！
脅威の「侵入経路」はエンドポイントから！
ここの防御だけは現状維持では許されない…
クラウドがもたらすITの価値
デジタル変革の主役はIT部門
時代を作るためのクラウド情報が満載！
AWSセミナー講演レポート
クラウド環境においてセキュリティと
ガバナンスを効かせるノウハウ
すぐに使えるデータは3割以下
AIを活用した分析の大きな課題
データ準備をどうすれば良いのか
いまどきのクラウド用語12選
今さら聞けない単語から最新トレンドまで
これだけは知っておきたい厳選の12語収録
IoTは次のフェーズへ
クラウドとの組み合わせが重要となる
エッジコンピューティングとはなにか？
機械学習は敷居が高い？
使い慣れたSQLで簡単大量データ分析できる！
PDCAサイクルを高速で行う方法とは

CNET_ID | RSSフィード | サイトマップ

ASAHI INTERACTIVE sites: CNET Japan | ZDNet Japan | builder by ZDNet Japan | TechRepublic Japan | Tetsudo.com

International Business Site for Developer: Builder.com | Builder UK | TechRepublic

The Japanese edition of 'ZDNet' is published under license from CBS Interactive, Inc., San Francisco, CA, USA.Editorial items appearing in 'builder by ZDNet Japan' that were originally published in the US Edition of 'ZDNet', 'CNET', 'TechRepublic', and 'CNET News.com' are the copyright properties of CBS Interactive, Inc. or its suppliers. Copyright © CBS Interactive, Inc. All Rights Reserved. 'ZDNet', 'CNET' and 'CNET News.com' are trademarks of CBS Interactive, Inc.

個人情報保護方針 | 利用規約 | 広告について |
運営会社

SQLインジェクションでfuckjp0.jsを挿入--ラックが正規サイト改ざんを解説

自社に最適な製品は？HCIの人気2製品を徹底比較！数々の優位性が判明したHPE

サーバールームの温度上昇、IT機器は耐えられる!? 温度異常が発生した時に確認すべきポイント

【事例】関西システムソリューションが実現したセキュリティと柔軟性を両立したIT基盤

【緊急公開】クラウドよりもHCIの方がTCOが遥かに低い事実が明らかに！その理由とは？

【ESGラボレポート】VDIの運用管理が高付加な理由と、最適なHCIの条件とは何か徹底検証！

エンジニアの力量がベンダーロックインを防ぐ！トータルなファシリティ知識をもつ人材育成が待たれるワケ