SQLインジェクションでfuckjp0.jsを挿入--ラックが正規サイト改ざんを解説

　攻撃リクエストは、HTTPリクエストの形でWebアプリケーションに送られるのだが、最大の特徴はCAST関数を使って難読化されているという点だ。ログを確認しても数字の羅列であり、SQLインジェクションの攻撃かどうか分かりにくいのが特徴だという。

攻撃リクエスト。CAST関数による難読化が施されている。赤色の部分にはURLが入っている

難読化された部分を解読するとURLが現れる（※管理者の対策のために攻撃元のドメインをそのまま掲載している。まだ攻撃は継続しており、これらのサイトへのアクセスは十分に注意が必要）

　攻撃元は中国と見られているが、攻撃用に設置されたサーバは複数あり、中国国内以外にも米国や韓国にも存在するようで、時間帯によって別のサーバに転送されたり、1つのサーバ上で複数のアプリケーションが動いているなど、全体像の把握が難しいのも特徴だという。

簡略化した攻撃の全体像。最初のドメインでの攻撃で使われたサーバに対して、新しいドメインからの攻撃でもリンクが張られており、ラックでは同一グループの犯行との見方を示す（※管理者の対策のために攻撃元のドメインをそのまま掲載している。まだ攻撃は継続しており、これらのサイトへのアクセスは十分に注意が必要）

　今回の攻撃の最大の問題点は、Webアプリケーションの脆弱性だ。しかも、今回の攻撃で利用された脆弱性は単純なもので、きちんと開発していれば防げるレベル。実際、攻撃数に対して、攻撃に成功した数を考えれば、ほとんどのWebアプリケーションでは問題が発生していない。

　ただ、ラックによれば「3年前に終わった企業のキャンペーンサイトで使われたアプリケーションが攻撃された」例もあるという。こうしたサイトは企業側も存在を忘れている可能性があり、過去のサイトがきちんと閉じられているかどうかもチェックが必要だとしている。

　いずれにしても、今回の一連の攻撃はまだ終息しておらず、ラックでは一時休止状態という見方。25日には攻撃の再開も警告している。

　攻撃対象は企業、官庁、教育機関とバラバラだが、ラックの設置したIDS/IPS、ファイアウォールで調べたところ、攻撃を受けている数で上位5社の企業で、全体の攻撃の半数を占めているという。このため、一度攻撃が成功してしまった企業は特に狙われているようだが、攻撃対象を特定するリストが出回っているか、検索サイトで攻撃対象を発見しているかは不明だという。

　Webアプリケーションを利用している企業らは、脆弱性が存在しないかチェックすべきだろう。ラックのセキュリティ事業本部 JSOC事業部 チーフエバンジェリストの川口洋氏は、「被害を受ける顧客はほとんどいなくなっており、声が届いている人には対策ができている」としつつ、一部では対策が徹底できていないと指摘。大部分のWebアプリケーションに脆弱性がなくても、一部でも脆弱性があれば攻撃されてしまうとして、同社の無料チェックツール「SecureSite Checker Free」の使用やログの確認などの対策を推奨している。

　ZDNet Japanの「「正規サイトの改ざん」という悪夢--ラックが解説」でも詳細を掲載しています。