SQLインジェクションでfuckjp0.jsを挿入--ラックが正規サイト改ざんを解説

小山安博

2008-03-27 21:45:01

　Webアプリケーションの脆弱性を狙い、Webサイトを書き換えて個人ユーザーのPCの情報を盗むなどする攻撃が、3月に入ってから頻発している。セキュリティベンダーのラックによる調査でその攻撃の一端が明らかになった。

　今回の攻撃では、WebサーバのIISとRDBMSのMicrosoft SQL Server上で動作するWebアプリケーションを攻撃対象としている。アプリケーション上に脆弱性が存在し、DBの文字列型が一斉に書き換えられ、サイト上にスクリプトが埋め込まれる――という攻撃だ。IIS＋MS SQLの問題ではなく、Webアプリケーションの脆弱性に問題があるために攻撃が実施される。

攻撃の流れ

攻撃に使われるJavaScriptは、同社が手に入れたもので2つ。さらに1つの存在を確認しているという。「fuckjp0.js」は国内向けの攻撃に使われていると見られている

　攻撃は、Webアプリケーションの脆弱性を悪用。書き換えられたサイトにアクセスした一般ユーザーのブラウザ上でスクリプトがひそかに実行され、攻撃者が用意したサーバにアクセスさせられ、さらに不正なプログラムが置かれたサーバに転送される。1ユーザーに対して2つのサーバに転送され、1つはダウンローダーがダウンロードされてマルウェアがインストールされる。もう1つはユーザー環境のトラッキングが行われるという。

実際に書き換えられたサイトの例

クライアント側ではOSやアプリケーションの脆弱性を突く。RealPlayerと「MS06-014」が特に狙われているという。後半のアプリケーションは主に中国で使われるアプリケーションだが、これは過去の攻撃に使われたコードが残っているものと見られる

1 2 次のページへ ≫

関連情報(6件)

ホワイトペーパー

RSS | サイトマップ

ブログを書く(CNET_IDのご登録が必要です)

[ログイン] [ログアウト]

folllow builer on twitter

新着記事
特集
ブログ

新着一覧 »

アドビ、Photoshopの機能追加を含めCreative Cloudをアップデート 2012-12-17 16:50:00
システム担当者がより楽しめる「007 スカイフォール」の見方--MI6が遭遇する手痛いピンチは、こうすれば防げた？ 2012-11-27 11:00:00
Javaエバンジェリストが語る「JavaOne 2012 San Francisco」の見どころ～築き上げられる『未来のJavaの姿』～ 2012-11-19 15:30:00
企業ITのクラウド化と多様化するPaaS 2012-07-31 09:00:00
FAQ：Herokuと既存システムはどうやって連携させるの？ 2012-07-12 09:00:00
特集一覧 »

“海上オフィス”と“コグニティブ・ロボット”--ドリーム・アーツが2つのびっくりプロジェクトで目指すのは…… 2017-04-01 00:00:00
ドリーム・アーツ、iPadで営業活動を革新するクラウドサービス「YUKARi」を発表 2013-09-11 10:30:00
日本サード・パーティ、Twitterマイクロサイト構築サービス「Wayin Hub」を国内展開 2013-06-27 08:00:00
デル、Dell SonicWALL SuperMassive 9000シリーズを発表--キャリア向けの性能を企業にも 2013-05-16 23:00:00
IBC、性能監視アプライアンスの新製品「System Answer G2 RAID Appliance」を発売 2013-04-19 09:00:00
ブログ一覧 »

企画特集

「いま」を分析する、その先へ！
知りたいのは１カ月後の売上を増やす施策
優秀なセールスコーチEinstein Analytics
目指すは社内サービスプロバイダ
これからのCIOはITの新たな役割を認識し
最先端ITの「取り入れ方」を意識せよ！
「誤送信」が減らない意外な理由！
メール誤送信のリスクと最新事情とは？
なにが有効な対策となるのかを聞いてみた
SD-WANなら課題解決はどこまで？
SaaSを快適に利用する第一歩はここから！
（ネットワーク管理セミナーより）
特集：ビジネスを止めるな！
旧時代のバックアップから脱却せよ
デジタル時代にふさわしい戦略を解説
ビジネスの大きな転換点で勝者に！
「企業のデジタル化」その現実はどうなのか
最新の特集記事と事例で紐解く！
クラウド時代の境界線をどう守る？
クラウド全盛の時代、セキュリティの境界線
をどう考えていくか、対談形式でお届けする
結局ここで手を抜いたら終わり…！
脅威の「侵入経路」はエンドポイントから！
ここの防御だけは現状維持では許されない…
データドリブン体制をどう築く？
経営層が意識すべきは「2つの課題」と
「3つのステップ」！状況と課題の整理を
分析されたデータを活用できるか？
得られた知見は「改善」につなげてこそ有効
革新をもたらすデータ活用の在り方を考える
レガシーなインフラ設計を見直す
デジタルビジネスを推進する原動力を再考！
～インフラ再設計と人材確保への道筋～
漫画：企業ネットワーク再考
クラウドサービスの利用増加で、社内から
「遅い」「切れた」の声があがり・・・
Supermicroのサーバは一味違う？
ユーザーのニーズに合わせて細分化、
コモディティ化するサーバ市場で異彩！
基本はメール！？サイバー攻撃対策
「Cisco Email Security」の多層防御で守る
業界最大規模のインテリジェンスとは
特集：ポスト2020時代のCX再考
新たな顧客体験創出の鍵になる
「次世代コンタクトセンターの要諦」
スマホにもパーソナライズ広告！
Criteoが提供するモバイルマーケティング
アプリ→インストール→購入がワンストップ
比べて納得！ビジネスにもこれ
ビジネスPCに求められるさまざまな要件を
高次元で実現するSurfaceProの魅力に迫る
登場！待望の「Azure Stack HCI」
Windows Server標準機能で本格なHCI構築
専用H/W搭載Dell EMC Solutionsも解説
HCI環境もエージェントレス保護！
「Arcserve UDP 7.0」の強みを解説
4つのユースケース--他の環境も統合！ほか
Azure Stack HCIの選び方！
初導入でも安心なNECのソリューション
検討、構築、運用、保守の各段階で安心感！
複数のストレージをプールに統合！
異彩の「VVAULT（ブイボルト）シリーズ」
常時バックアップで安心のファイル保護も
レポート：90%の時間を自動化
Splunkが2020年ビジョンで提案する
自律型セキュリティオペレーションとは
働き方、生産性を根底から底上げ！
取り組めば大きな差に！エンド端末の刷新
最新テクノロジを迅速に取り込める環境を
どこまで可能？企業を究極の自動化
単純作業の置き換え、業務プロセス自動化
ここまで可能になった「人＋テクノロジ」
特集：ブロック至上主義からの脱却
新潮流とも言える「セキュリティの可視化」
選定・導入・運用の複合的な視点で紹介

CNET_ID | RSSフィード | サイトマップ

ASAHI INTERACTIVE sites: CNET Japan | ZDNet Japan | builder by ZDNet Japan | TechRepublic Japan | Tetsudo.com

International Business Site for Developer: Builder.com | Builder UK | TechRepublic

The Japanese edition of 'ZDNet' is published under license from CBS Interactive, Inc., San Francisco, CA, USA.Editorial items appearing in 'builder by ZDNet Japan' that were originally published in the US Edition of 'ZDNet', 'CNET', 'TechRepublic', and 'CNET News.com' are the copyright properties of CBS Interactive, Inc. or its suppliers. Copyright © CBS Interactive, Inc. All Rights Reserved. 'ZDNet', 'CNET' and 'CNET News.com' are trademarks of CBS Interactive, Inc.

個人情報保護方針 | 利用規約 | 広告について |
運営会社

SQLインジェクションでfuckjp0.jsを挿入--ラックが正規サイト改ざんを解説

【事例】各業界のAI導入事例に学ぶ、陥りがちな「穴」と自社に適したAI活用の進め方

【事例】AI活用の広告サービスで顧客生涯価値（CLV）向上に成功した小売業者の軌跡を追う

なぜ今セキュアSD-WANが有効なのか！？クラウドへのシフトで変わりゆくネットワーク要件から読み解く

Office365メールも保護! クラウド型多層防御サービスの実力

成果を生むデータマネジメント戦略とは？成功企業に共通する4つの特性

セキュリティと可用性を向上! 金融系システムに採用された「IBM CIS」の実力