【注意喚起】日本をターゲットとしたSQLインジェクションによるホームページ改ざん行為と、同行為により改ざんされたページへのアクセスによるマルウェア感染について

2008年3月25日更新

本注意喚起で言及している、日本をターゲットにしたSQLインジェクション攻撃が3月24日より再開された模様です。WebサーバのOSやインストールされているアプリケーションなどを常に最新の状態にし、脆弱性を解消しておくことをお勧めいたします。

今一度、SecureSite Checker（無料）などのツールやログの解析などで悪質な攻撃の有無をご確認ください。万が一、攻撃の痕跡を確認できた場合、お早めに常時監視やWebアプリケーションの診断などの予防対策をご検討ください。

株式会社ラックのリモートセキュリティ監視センターであるJSOC（Japan Security Operation Center）は、2008年3月11日（火）の夜から現在まで、継続的に日本をターゲットとしたSQLインジェクションによるホームページ改ざん行為を検知しております。また、同行為により改ざんされたページへのアクセスを行うと、利用者が意図しないうちにマルウェアに感染するページにアクセスしてしまうことも確認しております。

今回観測されているSQLインジェクション攻撃について
今回の一連の攻撃は、ASP（Active Server Pages）を使用して開発されたWebアプリケーションの脆弱性悪用に特化した攻撃ツール（もしくは手口）によるものとJSOCでは推測しています。ASP以外で開発されたWebアプリケーションでも被害を受ける可能性もありますが、現時点では未確認です。
改ざんされたページについて
今回観測されている改ざん行為は、SQLインジェクションにより企業や組織等のサーバのWebページの一部にwww.2117966.net（注：決してアクセスしないでください）へのリンクを埋め込むことです。このリンクは、通常ブラウザ等では確認できないSCRIPT要素のSRC属性として埋め込まれます。
感染するマルウェアについて
オンラインゲームの情報を感染PCから盗み出すタイプと推定されます。
注意喚起
(1) Webサーバを運営管理する組織・企業
Webサーバのコンテンツやログの状況を確認し、www.2117966.net（注：決してアクセスしないでください）へのリンクが無いことを確認しましょう。また、WebサーバのOS、インストールされているアプリケーションなどを常に最新の状態にし、脆弱性を解消しておきましょう。
(2) 一般の利用者
PCのOSや、インストールされているアプリケーション（ワープロ、表計算、音楽再生、動画閲覧ソフトなど）を、常に最新の状態にし、脆弱性を解消しておきましょう。また、普段からアクセスしているサイトにこのような悪意あるリンクが埋め込まれていたとしても問題のないよう、JavaScriptを既定で無効にできるプラグイン等を活用しましょう。