SQLインジェクションでfuckjp0.jsを挿入--ラックが正規サイト改ざんを解説

小山安博

2008-03-27 21:45:01

　Webアプリケーションの脆弱性を狙い、Webサイトを書き換えて個人ユーザーのPCの情報を盗むなどする攻撃が、3月に入ってから頻発している。セキュリティベンダーのラックによる調査でその攻撃の一端が明らかになった。

　今回の攻撃では、WebサーバのIISとRDBMSのMicrosoft SQL Server上で動作するWebアプリケーションを攻撃対象としている。アプリケーション上に脆弱性が存在し、DBの文字列型が一斉に書き換えられ、サイト上にスクリプトが埋め込まれる――という攻撃だ。IIS＋MS SQLの問題ではなく、Webアプリケーションの脆弱性に問題があるために攻撃が実施される。

攻撃の流れ

攻撃に使われるJavaScriptは、同社が手に入れたもので2つ。さらに1つの存在を確認しているという。「fuckjp0.js」は国内向けの攻撃に使われていると見られている

　攻撃は、Webアプリケーションの脆弱性を悪用。書き換えられたサイトにアクセスした一般ユーザーのブラウザ上でスクリプトがひそかに実行され、攻撃者が用意したサーバにアクセスさせられ、さらに不正なプログラムが置かれたサーバに転送される。1ユーザーに対して2つのサーバに転送され、1つはダウンローダーがダウンロードされてマルウェアがインストールされる。もう1つはユーザー環境のトラッキングが行われるという。

実際に書き換えられたサイトの例

クライアント側ではOSやアプリケーションの脆弱性を突く。RealPlayerと「MS06-014」が特に狙われているという。後半のアプリケーションは主に中国で使われるアプリケーションだが、これは過去の攻撃に使われたコードが残っているものと見られる

1 2 次のページへ ≫

関連情報(6件)

ホワイトペーパー

RSS | サイトマップ

ブログを書く(CNET_IDのご登録が必要です)

[ログイン] [ログアウト]

folllow builer on twitter

新着記事
特集
ブログ

新着一覧 »

アドビ、Photoshopの機能追加を含めCreative Cloudをアップデート 2012-12-17 16:50:00
システム担当者がより楽しめる「007 スカイフォール」の見方--MI6が遭遇する手痛いピンチは、こうすれば防げた？ 2012-11-27 11:00:00
Javaエバンジェリストが語る「JavaOne 2012 San Francisco」の見どころ～築き上げられる『未来のJavaの姿』～ 2012-11-19 15:30:00
企業ITのクラウド化と多様化するPaaS 2012-07-31 09:00:00
FAQ：Herokuと既存システムはどうやって連携させるの？ 2012-07-12 09:00:00
特集一覧 »

Get Assignment help services at very nominal prices 2021-09-15 00:00:00
Best Linux Certification 2021-08-24 00:00:00
プロセスマイニングの普及啓蒙で企業の競争力を強化目指すプロセスマイニング協会 2020-11-06 19:00:00
ブラックリストに載せられた、または盗まれたiPhoneでできる13のこと（2020ガイド） 2020-06-11 00:30:00
iCloud Unlock Deluxe 2020-01-09 02:00:00
ブログ一覧 »

企画特集

RPAによる自動化を年30万で実現
小さな投資が目に見える大きな効果に！
デジタル化によるわかりやすい業務効率向上
セキュリティモデルは変わった！
クラウド活用、リモートワークはあたりまえ
いま求められるゼロトラスト実現のために
コンテナをエンプラITに！
コンテナ活用の基礎
本番実装が増える背景とメリット
さあ、その想いをカタチにしよう。
Google Cloud が企業の未来に向けた生産性
向上とコラボレーション実現のヒントを解説
今を知り、未来を見据える
培ってきたノウハウを最新技術へ対応させる
レガシーシステムのモダン化実現への道
アプリが簡単にできるって本当？
セールス、マーケ、人事の3名が実際に体験
業務をローコードツールで改善してみた
自社利用の知見・経験を顧客に提供
コンテナ活用を推進する日立製作所
VMware Tanzuを利用したモダナイズを伝授
アプリケーションモダナイズ
求められている背景にあるビジネスの今
そして、成功の鍵を握るDevOpsの真の意味
非構造化データのデジタル活用へ
社内の文書コンテンツを一元管理
デジタル変革と内部統制の二兎を得るECM
結果に差がつくウェビナーへの投資
デジタル営業時代における見込み顧客獲得へ
ウェビナーの運用・集客・フォローの最適化
特集：セキュリティトレンド-秋-
つながる世界で問われる対応
サプライチェーンセキュリティを考える
ヤフー担当者が語る！
安心なサービスを作るための試行錯誤
効率とリスクのバランスをどうしているのか
ビジネスの推進には必須！
ZDNet×マイクロソフトが贈る特別企画
今、必要な戦略的セキュリティとガバナンス
ITインフラ運用からの解放
HCI＋JP1による統合運用による負荷激減で
次世代IT部門への役割変革へ一歩前進
体験から学んだ成功への知見
マネーフォワード×エム・フィールド対談
Fintechプラットフォーム開発の「鍵」
激変するビジネス環境の中でのDX
モダンアプリケーション戦略への取り組みが
市場の競争力の源泉となる
身近な改善の第一歩！
ニューノーマルな働き方を前提にした
これからの時代のWi-Fi環境構築のポイント
単純なインフラ製品の販売ではない
DX、コンテナプラットフォームの実証など
自社の取り組みで得られた知見を顧客に提案
ライバル同士がタッグを組む理由
マイクロソフトとヴイエムウェアが連携し
パブリッククラウドへの移行を支援
企業DXのヒントに！
SAPとMSとインテルのタッグがもたらす
新たな価値について3社キーマンが語る！
IT部門のDXはこれだ！
IT運用管理新時代における最適な運用管理
の現場作り
特集：IT最適化への道
成功の秘訣をその道のプロが解説
カギとなるのはシステムの「見える化」
ビジネスのためのデータ基盤構築
DX時代の企業成長はデータ活用が鍵
新たな展開を後押しするSQL Server活用
デジタル時代のITインフラ構築術
仮想化統合、クラウドを経て今「マルチ」へ
ITインフラの最適化と継続的進化への道筋
ともにDXを推進する
コンテナ化されたワークロードを管理
継続的な価値を生みだす「協創」への挑戦
EDRトップランナー対談：後編
セキュリティ戦略を転換せざる得ない背景と
EDRのような手法が必要な理由に迫る
大学、研究機関、製造業など
いま目覚ましい躍進ぶりを見せるデルのHPC
その背景と選ばれる理由にせまる
データ活用は次のステージへ
トラディショナルからモダンへ進化するBI
未来への挑戦の成功はデータとともにある
高まるゼロトラストの気運
妥協のない安全のために適材適所で組合せ
トップ4社によるゼロトラストセキュリティ
時代はサーバ仮想化からコンテナへ
あらためて整理したい企業ITにおける
コンテナ活用の基礎と採用メリットを紹介
20年培ったデジタルカイゼン文化
誰もが知るあの「Notes」で実現する
現場とIT部門二人三脚でのデジタルカイゼン
クラウドネイティブの実現
モダンインフラの構築・運用の課題解決へ
コンテナの可能性を広げるVMware Tanzu
オープンソース活用はあたりまえ！
そんな今だからこそ改めて考える
企業ITにおけるOSS活用のメリットとリスク

CNET_ID | RSSフィード | サイトマップ

ASAHI INTERACTIVE sites: CNET Japan | ZDNet Japan | builder by ZDNet Japan | Tetsudo.com

International Business Site for Developer: Builder.com | Builder UK

The Japanese edition of 'ZDNet' is published under license from A Red Ventures Company., Fort Mill, SC, USA. Editorial items appearing in 'ZDNet Japan' that were originally published in the US Edition of 'ZDNet', 'CNET' and 'CNET News.com' are the copyright properties of A Red Ventures Company. or its suppliers. Copyright (c) A Red Ventures Company. All Rights Reserved. 'ZDNet', 'CNET' and 'CNET News.com' are trademarks of A Red Ventures Company.

個人情報保護方針 | 利用規約 | 広告について |
運営会社

SQLインジェクションでfuckjp0.jsを挿入--ラックが正規サイト改ざんを解説

【3分解説】なぜ、大企業で全社レベルの「業務デジタル化」は進まない？ 3大原因と改善策

大企業の業務デジタル化の成功事例14選、取り組みの詳細とDX実現を支えた仕組みを大公開

講演資料-DX 推進に不可欠な Azure AD 活用のご紹介

Foxが2020年スーパーボウル中継に成功した秘訣、高品質ストリーミング配信の仕組み

ノーコード・ローコード開発クラウドが変える業務アプリの常識、部門の若手社員がつくったアプリ集

Nutanixの最新事例13社から知るDX、働き方改革、ミッションクリティカル、ハイブリッドクラウド

【3分解説】なぜ、大企業で全社レベルの「業務デジタル化」は進まない？　3大原因と改善策