
SQLインジェクションでfuckjp0.jsを挿入--ラックが正規サイト改ざんを解説
攻撃リクエストは、HTTPリクエストの形でWebアプリケーションに送られるのだが、最大の特徴はCAST関数を使って難読化されているという点だ。ログを確認しても数字の羅列であり、SQLインジェクションの攻撃かどうか分かりにくいのが特徴だという。
攻撃元は中国と見られているが、攻撃用に設置されたサーバは複数あり、中国国内以外にも米国や韓国にも存在するようで、時間帯によって別のサーバに転送されたり、1つのサーバ上で複数のアプリケーションが動いているなど、全体像の把握が難しいのも特徴だという。
今回の攻撃の最大の問題点は、Webアプリケーションの脆弱性だ。しかも、今回の攻撃で利用された脆弱性は単純なもので、きちんと開発していれば防げるレベル。実際、攻撃数に対して、攻撃に成功した数を考えれば、ほとんどのWebアプリケーションでは問題が発生していない。
ただ、ラックによれば「3年前に終わった企業のキャンペーンサイトで使われたアプリケーションが攻撃された」例もあるという。こうしたサイトは企業側も存在を忘れている可能性があり、過去のサイトがきちんと閉じられているかどうかもチェックが必要だとしている。
いずれにしても、今回の一連の攻撃はまだ終息しておらず、ラックでは一時休止状態という見方。25日には攻撃の再開も警告している。
攻撃対象は企業、官庁、教育機関とバラバラだが、ラックの設置したIDS/IPS、ファイアウォールで調べたところ、攻撃を受けている数で上位5社の企業で、全体の攻撃の半数を占めているという。このため、一度攻撃が成功してしまった企業は特に狙われているようだが、攻撃対象を特定するリストが出回っているか、検索サイトで攻撃対象を発見しているかは不明だという。
Webアプリケーションを利用している企業らは、脆弱性が存在しないかチェックすべきだろう。ラックのセキュリティ事業本部 JSOC事業部 チーフエバンジェリストの川口洋氏は、「被害を受ける顧客はほとんどいなくなっており、声が届いている人には対策ができている」としつつ、一部では対策が徹底できていないと指摘。大部分のWebアプリケーションに脆弱性がなくても、一部でも脆弱性があれば攻撃されてしまうとして、同社の無料チェックツール「SecureSite Checker Free」の使用やログの確認などの対策を推奨している。
ZDNet Japanの「「正規サイトの改ざん」という悪夢--ラックが解説」でも詳細を掲載しています。
- 新着記事
- 特集
- ブログ
- 企画特集
-
内部不正や不注意をどう防ぐ?
-
保育業界のDX(後編)
-
保育業界のDX(前編)
-
いまあるデータで身近な業務をDX
-
モバイルデバイスもターゲットに!
-
セキュリティの今を知る
-
いまさら聞けない「PPAP」
-
明日からではもう遅い?!
-
データの散在と非常率運用がネック
-
連載!プロが語るストレージ戦略
-
デジタルを当たり前と言えるか?
-
連載!プロが語るストレージ戦略
-
ビッグデータ最前線!
-
いままさに社会にとっての転換点
-
ゼロトラストに不可欠なID管理
-
特集:IT最適化への道
-
さあ、クラウドで解決しよう。
-
次の一手はこれだ!
-
講演の見どころを紹介
-
企業DXのキモはクラウドにあり
-
IDaaSって何?
-
利便性とセキュリティの両立
-
話題のセキュリティ事故体験ゲーム
-
連載!プロが語るストレージ戦略
-
請求書がきてからでは遅い