2009年02月01日

2008年12月の緊急注意喚起の続報～SQLインジェクション攻撃とIE7の脆弱性との関連性

2008年12月22日の緊急注意喚起の続報です。LACのその後の調査では、2008年12月10日頃からInternet Explorerの未公開の脆弱性（マイクロソフト株式会社「Internet Explorer の脆弱性により、リモートでコードが実行される」）を狙った攻撃コードが出回っていたことが判り、昨年12月に爆発的に急増したSQLインジェクションで誘導される悪性サイトにもこの脆弱性を悪用する攻撃コードが仕込まれていたことが確認できました。

（クリックで拡大）

この攻撃コードが出回り出したのが2008年12月10日頃で、大規模攻撃が開始されたのが12月14日でした。そして、Internet Explorerの修正プログラムがリリースされたのが12月18日でした。

LACでは、2008年12月10日から18日までの期間、すなわちInternet Explorerの修正プログラムがリリースされる前に無防備なPCを狙って、攻撃者が大規模なSQLインジェクションを仕掛けた可能性が高いのではないかと考えています。