内容
最近の緊急対応サービス「サイバー119」において、phpMyAdminの脆弱性を狙った攻撃による被害相談が複数寄せられています。この脆弱性は、CVE-2011-2505, CVE-2011-2506を組み合わせると、任意のコード実行が可能になる脆弱性です。

以下の条件を満たす場合、外部から任意のコードを実行可能です。

サイバー救急センターでこれまでに確認された攻撃手法は、phpのコードを実行し、コネクトバックシェルを起動する手法です。これにより、攻撃者は自身のサーバ上で、Webサーバの動作ユーザ権限で任意のコマンドを実行可能です。

対策

また、phpMyAdminが外部からアクセス可能な状態になっていないか確認してください。
本脆弱性に限らず、通常phpMyAdminは外部に対して公開する必要はありません
外部からのアクセスが可能な場合、Apacheのアクセス制限機能を使用し、アクセス制限を行ってください。

内容
最近の緊急対応サービス「サイバー119」において、phpMyAdminの脆弱性を狙った攻撃による被害相談が複数寄せられています。この脆弱性は、CVE-2011-2505, CVE-2011-2506を組み合わせると、任意のコード実行が可能になる脆弱性です。

以下の条件を満たす場合、外部から任意のコードを実行可能です。

サイバー救急センターでこれまでに確認された攻撃手法は、phpのコードを実行し、コネクトバックシェルを起動する手法です。これにより、攻撃者は自身のサーバ上で、Webサーバの動作ユーザ権限で任意のコマンドを実行可能です。

対策

また、phpMyAdminが外部からアクセス可能な状態になっていないか確認してください。
本脆弱性に限らず、通常phpMyAdminは外部に対して公開する必要はありません
外部からのアクセスが可能な場合、Apacheのアクセス制限機能を使用し、アクセス制限を行ってください。

ラックの情報漏えい緊急対応サービス「サイバー救急センター」に問い合わせのあった最近の複数の事例において、次のような特徴がみられました。

1．JREの脆弱性を悪用
今回確認された攻撃はJava Runtime Environment （以下、JRE）の脆弱性（CVE-2008-5353（＊））を悪用し、一般のインターネット利用者をコンピュータウイルスに感染させます。多くの組織では、社内システムやパッケージ・ソフトウェアに付属するそれぞれのJREを使用しているケースが多く見受けられます。そのため、JREのセキュリティ対策を適切に取れないケースがあります。この様な理由が原因として、被害が相当数の企業に拡散していると推測されます。

2．感染源
インターネットサービスの多様化にともない、国内の企業ではホームページの利用動向調査が広範囲に利用されています。今回、大手有名サイト閲覧で発生しているコンピュータウイルス感染は、サイトそのものの感染ではありません。大手有名サイトが利用するホームページ閲覧率調査サービスを提供する会社のページが改ざんされたことによると推測されます。ラックでは、同サービスを利用している大手の量販店サイトや雑誌社のサイトを閲覧した利用者が、そのホームページを介して間接的に感染したことを確認しています。なお、現在のところこの改ざんは復旧し、コンピュータウイルスに感染しない状態になっています。

図： 様々な外部サービスを組み合わせて構成されているホームページの仕組み（クリックで拡大）

図： ウイルスの感染経路（クリックで拡大）

3．感染するウイルスの特徴
このウイルスに感染すると、ホームページのアクセスに必要なユーザIDとパスワードを不正に盗み取られる可能性があります。未確認ですが、パソコンをのっとられて外部から不正に操作される危険性もあります。

4．対策
（１）JREの更新

• JREのホームページから最新版に更新してください。
• http://www.java.com/ja/download/

（２）ウイルスの駆除

• 市販のウイルス対策ソフトで見つけられないこともあるため、以下の IP にアクセスしている機器がないかをご確認ください。当該機器が見つかり、駆除できない場合は専門家に相談してください。
• ［64.27.25.223］、［64.27.25.224］、［88.80.7.152］、［85.17.209.3］、［95.211.111.229］、［95.211.108.93］、［178.63.62.19］

5．被害が確認された場合のご相談窓口
ラックでは、今回被害が確認されたお客様向けにご相談窓口をご用意しました。
株式会社ラック　サイバー救急センター　E-mail: 119@lac.co.jp

以上

＊：http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-5353

（参考） JPCERTコーディネーションセンターによる注意喚起 2010年10月27日： アクセス解析サービスを使用した Web サイト経由での攻撃に関する注意喚起 http://www.jpcert.or.jp/at/2010/at100028.txt

【株式会社ラックについて】
株式会社ラックは、情報化社会の進展で地球が加速度的に縮小していくことを予測して1986年9月3日に設立されました。セキュリティソリューション分野でのリーディングカンパニーとして、「サイバーリスク総合研究所」によるサイバー社会の安全な活用のための総合的な研究、国内最大級のセキュリティ監視センターJSOCによる24時間365日の高度なセキュリティ監視・分析サービスの提供、「サイバー救急センター」による情報漏えい事故などの緊急対応・支援など、特徴的な活動を基軸に先進のセキュリティテクノロジーを活用し、官公庁・企業・団体等のお客様に総合的なセキュリティソリューションサービスを提供しています。

【報道機関からのお問い合わせ先】
株式会社ラック　マーケティングコミュニケーショングループ
Tel: 03-6757-0113　E-mail: pr@lac.co.jp

【お客様からのお問い合わせ先】
株式会社ラック　サイバー救急センター　E-mail: 119@lac.co.jp

*LAC、ラック、JSOC（ジェイソック）は、株式会社ラックの登録商標です。 その他、記載されている製品名、社名は各社の商標または登録商標です。

ラックの情報漏えい緊急対応サービス「サイバー救急センター」に問い合わせのあった最近の複数の事例において、次のような特徴がみられました。

１. 検索エンジンを悪用して対象サイトを選別している
攻撃者が攻略しやすいサイトの選別に、検索エンジンを利用していることが分かりました。次のように、クレジットカード情報や個人情報を保有するサイトで、情報を窃取できそうなサイトを検索しています。

ａ)「JCB」「VISA」「Master」などのカードブランド名称と、「支払」などのキーワードで
      検索エンジンにヒットするサイト
ｂ)サイトのURLに、PHPが含まれるサイト。
      従来からの.aspや.aspxが含まれるサイトも引き続き標的になっていますので油断は禁物です。
ｃ)検索結果に、例えばxxxxx.php?code=xxxxxのようにパラメータが表示されているサイト

２. 攻撃対象がLinuxサーバのシステムにまで拡大している
従来、マイクロソフト社製のWindowsサーバ上で稼動するIIS並びにASPで構築されたサイトが標的になるケースが多くみられました。最近はOSのライセンス料金が不要なことから利用が拡大しているLinuxサーバ上で稼動するApacheならびにPHPで構築されているサイト、そしてこのような環境を活用した低価格なホスティングサービスも攻撃者の対象となっています。
（参考：http://www.lac.co.jp/info/alert/alert20080312.html）

以上のような攻撃を誘発している背景としては、「Windowsサーバではないから大丈夫」、あるいは「これまで何もなかったから大丈夫」といった根拠のない安心感から、セキュリティへの考慮がほとんどなされていないサイトが依然として存在していることがあげられます。

また、昨年12月に改正割賦販売法が施行され、ECサイトを運営するサイトオーナ側の責任が明確になったにもかかわらず、そのことへの認識の甘さも散見されています。

さらに、最近のSQLインジェクションに代表される攻撃は、サーバプラットフォーム自体ではなく、サイトオーナが開発したWebアプリケーションプログラムの脆弱性やサイト管理上の甘さをついてくるものが多いのにもかかわらず、サイトオーナ側が運営を委託したホスティング事業者の責任であると誤解しているなども被害が減らない理由であると推測されます。

◆危険レベルの見分け方と、対策ガイダンス
警告レベル：既に侵入されている可能性もあり得る致命的な状態
前述（a, b, c）に該当し、これまでWebアプリケーション診断を行ったことがない、あるいはWebアプリケーションファイアウォール（WAF）などのSQLインジェクションなどの攻撃を防御する装置も導入していない。
注意レベル：いつ侵入されてもおかしくない危険な状態
前述（a, b, c）には特に該当しないが、カード情報や個人情報を保持しており、これまでWebアプリケーション診断を行ったことがない、あるいはWebアプリケーションファイアウォール（WAF）などのSQLインジェクションなどの攻撃を防御する装置も導入していない。

【対策ガイダンス】
(1)自社サイトのログを確認して不審なものがないか確認ください。弊社で提供する無償のWebサイトのアクセスログ解析ツール SSCF（※1） で確認を行うことができます。
(2)並行してWebアプリケーションの脆弱性に関する鳥瞰検査を受けることをお勧めします。
その後、その結果により、ビジネスの規模や社会的責任を鑑みて対応を考慮ください。
(3)カード情報を保持している場合は、決済会社と相談して非保持契約に切り替えるか、WAFなどの防御装置の導入を検討ください。

◆自社サイトの不備をセルフチェック！
(1)不審なアクセスを見分けるヒント
Webサーバのアクセスログに記録される、リファラー（Referrer）の解析はSEO対策だけではなく、不審なアクセスの目星をつける意味でも重要です。それは、攻撃者が検索エンジンでどのようなキーワードでサイトを物色しているのか見極めることができるからです。特に一般の人が検索しないキーワード（前述a, b, cなど）が見つかった場合、攻撃者が残した痕跡である可能性は否定できません。その後の不正アクセスなどのアクションに注視してください。
(2)不必要な公開ページの削除と、URLの最適化
検索エンジンで自社ページをサイト内検索（例：site:lac.co.jp）することで、どのように検索エンジンに登録されているか確認しておくことができます。検索結果に自社サイトで発生しているエラー画面や管理画面が表示されていたり、一時的に作成したテキストファイルが見つかることもありますので、不要なページは削除してください。（※検索エンジンに全ての結果が表示されるわけではありません。）
また、URLに、SQLインジェクションなどの攻撃のヒントとなるパラメータが表示されているのであれば、それを表示されないようにする工夫も重要です。

◆情報の窃取だけでなく、改ざんにも注意
情報の窃取だけではなく、改ざんも継続して多くのサイトが被害に遭遇しています。攻撃者にとっては、改ざんのほうが、情報窃取より実行しやすいので注意が必要です。（たった一回のSQLインジェクション攻撃で複数のデータベース内容の改ざんが可能）
データベースの改ざんは、多くの場合ウイルスをばら撒いているサイトとして利用者から指摘され、ホームページの改ざんとして露呈します。その結果、長期にわたるサイトの閉鎖を余儀なくされたり、再開のために多額の費用と期間を要するような被害に見舞われているケースもよく見受けられます。
高々改ざんという認識を改め、サイトに事業を依存している組織、あるいは社会的責任のある組織は注意を怠らないようにお願いいたします。

◆ECサイト運営時の留意点
ECサイトを運営するには、前述の法改正への対応も含め、個人情報やカード情報への法的管理責任が生じます。しかし、事業立ち上げ時など、企業体力がないなどから適切なセキュリティを実装できないこともあります。その場合、クレジットカード情報などを非保持で事業を行うことを考慮しなければなりません。その後、事業の成長とともに適切な管理を行っていくのが、事業を継続していく上での大筋のシナリオとなります。
また、サイトオーナだけではなく、システム運営を委任されているサービス提供事業者も、個人情報やクレジットカード情報を預かっている場合、適切に管理する責任があることを再認識の上、サイトに脆弱性がないか確認し、適切な対応を行っていただきますと幸いです。

　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　以上

（参考情報）
個人情報の取り扱いのガイドライン （経済産業省ホームページ）
http://www.meti.go.jp/policy/it_policy/privacy/index.html#02
社団法人 日本クレジット協会 クレジットカード番号等の保護
http://www.j-credit.or.jp/customer/sales_law/index2.html#area0204
クレジットカード情報取り扱いの基準（PCIDSS）
http://ja.pcisecuritystandards.org/minisite/en/index.html
※1.SSCF：セキュアサイトチェッカーフリー
（http://www.lac.co.jp/info/sscf.html）
ラックが提供する、Webサイトのアクセスログを無料で解析するツール。

【株式会社ラックについて】

株式会社ラックは、情報化社会の進展で地球が加速度的に縮小していくことを予測して1986年9月3日に設立されました。セキュリティソリューション分野でのリーディングカンパニーとして、「サイバーリスク総合研究所」によるサイバー社会の安全な活用のための総合的な研究、国内最大級のセキュリティ監視センターJSOCによる24時間 365日の高度なセキュリティ監視・分析サービスの提供、「サイバー救急センター」による情報漏えい事故などの緊急対応・支援など、特徴的な活動を基軸に先進のセキュリティテクノロジーを活用し、官公庁・企業・団体等のお客様に総合的なセキュリティソリューションサービスを提供しています。

【報道機関からのお問い合わせ先】

株式会社ラック　マーケティングコミュニケーショングループ
Tel: 03-6757-0113　E-mail: pr@lac.co.jp

*LAC、ラック、JSOC（ジェイソック）は、株式会社ラックの登録商標です。その他、記載されている製品名、社名は各社の商標または登録商標です。

*この情報は予告なしに改定されることがあり、かつ、あるがままの形で提供されています。 この情報を適用し、生起される結果のリスクは利用者が負うものとし、株式会社ラックは一切の責任を負わないものとします。

2010年8月15日追記

株式会社ラック（本社：東京都千代田区、代表取締役社長: 齋藤理、以下ラック）は、アップル社製iPhoneやiPadの危険な脆弱性を悪用した攻撃の可能性が高いとして注意喚起いたします。

本日、アップル社よりiOS 4.0.2 ソフトウェア・アップデート for iPhone およびiOS 3.2.2 ソフトウェア・アップデート for iPad の配布が開始されました。これは、細工されたPDFファイルを経由してウイルス感染などの危険性が指摘されていたためです。

ラックのサイバーリスク総合研究所での研究により、この脆弱性を用いたPDFファイルをホームページで公開、あるいはメールなどで送信し、それを閲覧させることでiPhoneなどをコンピュータウイルスに感染させることが可能であることを確認しました。

このことは、iPhoneなどの利用者が、悪意のあるサイトを閲覧するだけで、密かに攻撃者の意のままに操作されるウイルスに感染させられることを意味しています。

アップル社からアップデートが公表されましたが、利用者がアップデートを行わない可能性もあり、今後、被害にあってしまう危険性も高いため、以下のとおり注意喚起を行います。

「iPhoneなどを標的にしたウイルス等にご注意ください」
8月12日現在では、その存在は確認されていませんが、これまで無縁だったコンピュータウイルスの発生は秒読み段階であるという認識が必要です。

【対処方法】

• 万一に備えてiTunesでバックアップを取っておきましょう。
• アップル社からiOS 4.0.2 ソフトウェア・アップデート for iPhoneおよび iOS 3.2.2 ソフトウェア・アップデート for iPad が発表されましたので速やかにアップデートしましょう。http://support.apple.com/kb/DL1061
• 今後も、アップル社からのバージョンアップや回避策並びに対応策の案内が届いたらその指示に従いアップデートしましょう。
• 関連メディアなどからのセキュリティ情報収集を怠らないようにしてください。
  ※ ただし、アップル社などからのメールを装った、ウイルス感染目的の偽メールなどが出回る危険性もあるので、正しいメールであるか、確認して実施をお願いします。iTunesあるいはAppleStoreを介しての方法以外はあり得ないとお考えください。

「参考」
iPhoneやAndroidなどに代表されるスマートフォンを、海外を含む遠隔地の攻撃者により操作されるということは、パソコンにはない電話機能やGPSや各種センサーなどの悪用が想定されるため、パソコンとは異なった脅威となる認識が必要です。

【iPhoneなどの高機能携帯電話（スマートフォン）が遠隔地から操作される脅威】

１）勝手に電話を使用される
• 有料電話などに強制的にかけられて不当な料金を請求される。
• 電話を使用する犯罪に悪用される。
• サイバーテロに悪用される。

２）プライバシー情報を窃取される
• 位置情報、写真、スケジュール、連絡先、通話内容などを窃取または暴露される。

３）パソコンがのっとられるのと同様の脅威に遭遇する
• サイトで入力したデータを窃取される。
• 迷惑メール送信の踏み台とされる。
• サイバーテロに悪用される。
• 使用できない状態にされる。

　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　以上

その他の配信中動画はこちら

【株式会社ラックについて】

株式会社ラックは、情報化社会の進展で地球が加速度的に縮小していくことを予測して1986年9月3日に設立されました。セキュリティソリューション分野でのリーディングカンパニーとして、「サイバーリスク総合研究所」によるサイバー社会の安全な活用のための総合的な研究、国内最大級のセキュリティ監視センターJSOCによる24時間 365日の高度なセキュリティ監視・分析サービスの提供、「サイバー救急センター」による情報漏えい事故などの緊急対応・支援など、特徴的な活動を基軸に先進のセキュリティテクノロジーを活用し、官公庁・企業・団体等のお客様に総合的なセキュリティソリューションサービスを提供しています。

【報道機関からのお問い合わせ先】

株式会社ラック　取締役 最高技術責任者 西本逸郎
Tel: 03-6757-0113　E-mail: pr@lac.co.jp

*LAC、ラック、JSOC（ジェイソック）は、株式会社ラックの登録商標です。その他、記載されている製品名、社名は各社の商標または登録商標です。

*この情報は予告なしに改定されることがあり、かつ、あるがままの形で提供されています。 この情報を適用し、生起される結果のリスクは利用者が負うものとし、株式会社ラックは一切の責任を負わないものとします。