SQLインジェクションでfuckjp0.jsを挿入--ラックが正規サイト改ざんを解説

小山安博

2008-03-27 21:45:01

印刷

　Webアプリケーションの脆弱性を狙い、Webサイトを書き換えて個人ユーザーのPCの情報を盗むなどする攻撃が、3月に入ってから頻発している。セキュリティベンダーのラックによる調査でその攻撃の一端が明らかになった。

　今回の攻撃では、WebサーバのIISとRDBMSのMicrosoft SQL Server上で動作するWebアプリケーションを攻撃対象としている。アプリケーション上に脆弱性が存在し、DBの文字列型が一斉に書き換えられ、サイト上にスクリプトが埋め込まれる――という攻撃だ。IIS＋MS SQLの問題ではなく、Webアプリケーションの脆弱性に問題があるために攻撃が実施される。

攻撃の流れ

攻撃に使われるJavaScriptは、同社が手に入れたもので2つ。さらに1つの存在を確認しているという。「fuckjp0.js」は国内向けの攻撃に使われていると見られている

　攻撃は、Webアプリケーションの脆弱性を悪用。書き換えられたサイトにアクセスした一般ユーザーのブラウザ上でスクリプトがひそかに実行され、攻撃者が用意したサーバにアクセスさせられ、さらに不正なプログラムが置かれたサーバに転送される。1ユーザーに対して2つのサーバに転送され、1つはダウンローダーがダウンロードされてマルウェアがインストールされる。もう1つはユーザー環境のトラッキングが行われるという。

実際に書き換えられたサイトの例

クライアント側ではOSやアプリケーションの脆弱性を突く。RealPlayerと「MS06-014」が特に狙われているという。後半のアプリケーションは主に中国で使われるアプリケーションだが、これは過去の攻撃に使われたコードが残っているものと見られる

1 2 次のページへ ≫

関連情報(6件)

ホワイトペーパー

RSS | サイトマップ

ブログを書く

ブログの新規登録は、2021年12月22日に終了いたしました。

[ログイン] [ログアウト]

folllow builer on twitter

新着記事
特集
ブログ

新着一覧 »

アドビ、Photoshopの機能追加を含めCreative Cloudをアップデート 2012-12-17 16:50:00
システム担当者がより楽しめる「007 スカイフォール」の見方--MI6が遭遇する手痛いピンチは、こうすれば防げた？ 2012-11-27 11:00:00
Javaエバンジェリストが語る「JavaOne 2012 San Francisco」の見どころ～築き上げられる『未来のJavaの姿』～ 2012-11-19 15:30:00
企業ITのクラウド化と多様化するPaaS 2012-07-31 09:00:00
FAQ：Herokuと既存システムはどうやって連携させるの？ 2012-07-12 09:00:00
特集一覧 »

Unix Copy Directory command 2022-01-20 03:30:00
Free Online Linux Terminal to learn Linux! 2022-01-20 02:00:00
Was ist Pixel-Art? Anwendung von Pixel Art im Design 2022-01-14 00:00:00
AUTHORS IN PIXEL ART (II): TOYOI YUUTA 2022-01-12 00:00:00
Videobuddy APK 2022-01-07 03:30:00
ブログ一覧 »

企画特集

仮想デスクトップサービスの最新事情
複数の選択肢のあるMSのVDIサービス
どう違うのかをわかりやすく解説
現場主導のデジタル変革
ビジネス変革のための“ITの民主化”
そして変わるIT部門の役割
ハイブリッドクラウド時代の救世主
企業ITを素早く進化させるためのAVS
サービス開始から1年で大幅に機能がアップ
オリジナルコンテンツが満載！
意外と知らないNutanix HCI の情報を集約
読めばわかる！いまHCIが注目される理由
リモートワークを成功させる方法
必須となるセキュリティをどう強化するか
必要な対策5つを紹介
最新ストレージで変わるIT運用
仮想化テクノロジーとFlashArrayの組合せで
運用負荷軽減と高性能化を実現したDMM
iPhoneデバイスも統合的に管理
激しく変化する業務環境とリスクに合わせ
深化するM365セキュリティ
全世界22万以上の企業・組織で採用
DX時代の顧客価値創出に大きな役割を担う
CI/CD環境の現実解を紐解く
大事なのは”仕事の段取り”
幅広い業務を任されているからこそできる
ひとり情シス流の業務改善術
オープンソース活用はあたりまえ！
そんな今だからこそ改めて考える
企業ITにおけるOSS活用のメリットとリスク
クラウド導入が進まない本当の課題
ITベンダーだからこそ知っている
クラウドに二の足を踏む企業のボトルネック
ID管理の基礎知識
新しい働き方におけるITガバナンスの
向上にむけて
ビジネスの推進には必須！
ZDNet×マイクロソフトが贈る特別企画
今、必要な戦略的セキュリティとガバナンス
A Business New Era
あらゆるモノ・コトが変化している今
デジタルでビジネスは生まれ変わる
50年の経験を持つアイネットが提供
ユーザー企業の使いやすさを第一に考えた
ワンストップで使えるマネージドクラウド
年間5,000件の問い合わせに対応
疑問を解消したいユーザーも答える情シスも
みんな幸せになるヘルプデスクの最適解
Kubernetes活用の最適解とは？
今、注目のコンテナを活用した柔軟なIT基盤
運用、管理の課題を解決しメリットを最大化
本当のデータ活用できていますか？
データドリブンがあたりまえと言われる今あらためて考えたいデータ活用のありかた
電話営業・インサイドセールの革新
AIによる自動文字起こし・会話分析が
音声コミュニケーションの可能性を拓く
今時プライベートクラウドの作り方
2020年代のプライベートクラウド環境を
AzureとVMwareを例に紹介
DNSを守り、DNSで守る
高度・巧妙化し危険度を増すサイバーリスク
いま考えるべきモダンセキュリティのあり方
RPA見直される”業務”と”人”の関係
人的リソースを単純作業から解放！
高付加価値業務への転換のために
注目急上昇中のDaaS最新情報
コロナ禍を背景に利用者と機能を拡大中
Azure Virtual Desktop最新情報
勝つためのクラウド活用術
New Value on Azure
ビジネスを次のステージへ！
エッジ市場の活性化へ
高まるIoTを中心としたエッジ分野への期待
OSS活用が新しい時代のビジネスを拓く
新OSのWin11はどう進化したか
ビジネス上の役割、開発の要因と
Win11が目指した5つのポイントを紹介
Summit 講演レポート公開！
イノベーション志向経営からDX推進の覚悟
ブレインテックの可能性まで
膨大なアクセスを支える屋台骨
高い安定性とパフォーマンスを両立
ZOZOTOWNが選んだストレージ基盤を解説
サービスを止めない！
サイバーエージェントに聞く高可用性の実現
そこにピュア・ストレージが選ばれた理由
データ活用は次のステージへ
トラディショナルからモダンへ進化するBI
未来への挑戦の成功はデータとともにある
Anywhere Workspace！
ハイブリッドワーク時代の働き方
分散業務環境3つの課題と解決策

CNET_ID | RSSフィード | サイトマップ

ASAHI INTERACTIVE sites: CNET Japan | ZDNet Japan | builder by ZDNet Japan | Tetsudo.com

International Business Site for Developer: Builder.com | Builder UK

The Japanese edition of 'ZDNet' is published under license from A Red Ventures Company., Fort Mill, SC, USA. Editorial items appearing in 'ZDNet Japan' that were originally published in the US Edition of 'ZDNet', 'CNET' and 'CNET News.com' are the copyright properties of A Red Ventures Company. or its suppliers. Copyright (c) A Red Ventures Company. All Rights Reserved. 'ZDNet', 'CNET' and 'CNET News.com' are trademarks of A Red Ventures Company.

個人情報保護方針 | 利用規約 | 広告について |
運営会社

SQLインジェクションでfuckjp0.jsを挿入--ラックが正規サイト改ざんを解説

退職者や異動者の「削除漏れID」を防ぐには？適切なID管理で情報漏えいを防ぐ最善策

Criteoに聞くECマーケターが備えるべきコマース広告の大変動、鍵はファーストパーティデータにあり

AIによる自動文字起こし・会話分析で顧客との音声コミュニケーションの課題を一気に解決！

サードパーティクッキー廃止後、個客に刺さるマーケティング施策をどう実現すべき？

なぜカスタマーサービスは企業の成長における重要な鍵となるのか-不透明な時代を勝ち抜く顧客対応戦略

5,000名分のIDを可視化、大和ライフネクストが実践するID管理を起点としたセキュリティ強化策