株式会社ラック

トップレベルのセキュリティ技術を駆使した
ITトータルソリューションで、未来をきり拓く

セキュリティ事故発生時はこちら

情報を守り、未来を創造するパイオニアとしての信頼と自信で、もっと先へ

最高峰のセキュリティサービスと、ITトータルソリューションを提供します。

閉じる

ご相談は予約不要、24時間対応

緊急対応窓口:サイバー救急センター®

セキュリティに係るお客様の緊急事態に際し迅速にお客様をご支援する緊急対応サービスです。
緊急事態が発生したら今すぐ「サイバー救急センター」にご相談ください。

電話で相談する

メールで相談する

サイバー救急センター®のメールアドレス

ご相談は予約不要、24時間対応

緊急対応窓口:サイバー救急センター®

セキュリティ事故発生時はすぐにご連絡ください

LAC WATCH
2008年10月02日 | 注意喚起

【緊急注意喚起】 新手のSQLインジェクションを行使するボットの確認

セキュリティソリューション分野でのリーディングカンパニー、株式会社ラック(本社:東京都港区、代表取締役社長:齋藤理、以下ラック)は、自社の研究機関であるサイバーリスク総合研究所のコンピュータセキュリティ研究所から緊急注意喚起レポートを公開しました。

本レポートによると、IDS/IPS、WAF などの防御システムをすり抜け、Webサイトの管理者が気づきにくい手法で攻撃する新手のSQLインジェクション攻撃を行使するボットを確認したと報告されています。また、この新手のSQLインジェクション攻撃はラックのセキュリティオペレーションセンターJSOC(ジェイソック)でも9月30日早朝から検知されており、また、実際の被害に遭ったWebサイトも確認されたため、広く注意喚起する目的で本レポートを公開しました。

本レポートでは、攻撃の特徴、攻撃による影響、対策方法についてそれぞれを詳細に解説しています。一般利用者に被害が及ぶ攻撃であるため、組織のWebサーバ管理者や、LAN管理者がレポートの内容に従って、実際に被害に遭っていないか確認し、迅速な対応を取ることを強く願っています。

以下に、レポートの概要を示します。

攻撃の特徴

  • CookieにSQLインジェクション攻撃が埋め込まれている
    Cookieに攻撃が含まれるため、Webサーバのログに攻撃の痕跡が記録されない可能性が高い
    Cookieに攻撃が含まれるため、一部のIDS/IPSでは検知されないケースがある
  • 攻撃自体にIDS/IPS検知機能を回避する手法がとられているため、IDS/IPSで検知されないケースがある

攻撃手法

SQLインジェクションは、Webサイトに不正スクリプト(scriptタグ)を埋め込みます。攻撃はGETメソッドやPOSTメソッドを利用し、URIの部分に攻撃の内容が含まれています。しかし、9月30日から、この攻撃手法が進化し、Cookieの値に対してSQLインジェクション攻撃を行うものが確認されました。その結果、現在のIDS/IPSの検知パターンから外れており、検知できない事象が発生しています。加えて攻撃内容に検知機能を回避する手法がとられているため、さらに検知を難しくしている状況です。

今回の攻撃はCookieの値に対して行われており、通常のWebサーバのログに攻撃の内容が含まれていない可能性が高いと思われます。

攻撃元IPアドレスに関する情報

下記IPアドレスからの攻撃が確認されています。今後も継続して攻撃が行われる可能性が高いと思われます。

攻撃元IPアドレス

61.152.246.157 (中国)
211.144.133.161 (中国)

※上記IPアドレスには決してアクセスしないでください。

攻撃対象

ASP(Active Server Pages)で作成されたWebアプリケーションにおいてSQLインジェクションの脆弱性があるもの
※その他の環境も攻撃対象になる可能性あり(現時点では未確認)

攻撃による影響

Webアプリケーション経由でデータベースの内容が改ざんされ、不正なスクリプトが埋め込まれます。その内容を表示したWebサイトに不正なスクリプトが含まれることで、参照したユーザは気づかないうちに不正Webサイトに誘導されてしまいます。

不正Webサイトにはクライアントアプリケーションの脆弱性を狙った攻撃コードが複数設置されているため、クライアントアプリケーションに脆弱性が残っている場合、マルウェアをダウンロードさせられてしまう危険性が高いと考えられます。

推奨する対処方法

<Webサイトの管理者>

  • Cookieに含まれる攻撃のためアクセスログに残らない可能性が高いが、念のため、Webサイトのログを確認し、上記IPアドレスからのアクセスが発生していないか確認
  • データベース全体を調査し、不正Webサイト(http://drmyy.cn)へのリンクが埋め込まれていないか確認
    ※上記Webサイトへは決してアクセスしないでください。
  • データベーストリガーによるSQLインジェクション攻撃の防御を検討
    参考:【DBSL】緊急対応から見たWebサイト用データベースセキュリティ対策
    DBSLレポート 緊急対応から見たWebサイト用データベースセキュリティ対策
  • WebサーバにCookieのログ取得設定を追加
  • セキュリティ診断によって公開アプリケーションの脆弱性の有無を確認
  • 攻撃元IPアドレス(61.152.246.157と211.144.133.161)
    (このIPアドレスには決してアクセスしないでください)
    からのアクセスをファイアウォールやWebサーバで拒否する

<社内LAN管理者>

  • クライアントアプリケーションが最新版であるか確認
  • クライアントが利用するProxyのログを含めた211.154.163.43
    (このIPアドレスには決してアクセスしないでください)
    へのWebアクセスが存在しないか確認
  • 社内から211.154.163.43
    (このIPアドレスには決してアクセスしないでください)
    へのアクセスをファイアウォールやProxyサーバで拒否設定をする

最近ではこれらの不正Webサイトの生存期間が短くなっており、別のWebサイトに移転する可能性が十分にあります。
また、内部ネットワークのホストから該当のWebサイトへのアクセスがあった場合、既に攻撃の被害を受けたWebサーバから不正Webサイトに転送され、クライアントパソコン上で悪意のあるプログラムが実行されている可能性があります。

対策に関する参考URL

安全なWebサイトの作り方
http://www.ipa.go.jp/security/vuln/websecurity.html

SQLインジェクション
http://www.ipa.go.jp/security/vuln/vuln_contents/sql.html

SQL注入: #1 実装における対策
http://www.ipa.go.jp/security/awareness/vendor/programmingv2/contents/502.html

本リリースで発表した緊急注意喚起レポートは、以下のWebページからご覧いただけます。

◎緊急注意喚起レポート~新手のSQLインジェクションを行使するボットの確認~

以上

この記事は役に立ちましたか?

はい いいえ

関連記事

LAC WATCH

関連記事をご紹介します

  • 2008年12月の緊急注意喚起の続報~SQLインジェクション攻撃の変化について

  • 2008年12月の緊急注意喚起の続報~SQLインジェクション攻撃とIE7の脆弱性との関連性

  • 日本をターゲットとしたSQLインジェクションによるホームページ改ざん行為と、同行為により改ざんされたページへのアクセスによるマルウェア感染について

サイバーセキュリティに関する
様々な情報をお届けします

メルマガでは、より厳選した情報を
月に2〜3回配信しています
詳しくはこちら

page top