-
タグ
タグ
- セキュリティ
- 人材開発・教育
- システム開発
- アプリ開発
- モバイルアプリ
- DX
- AI
- サイバー攻撃
- サイバー犯罪
- 標的型攻撃
- 脆弱性
- 働き方改革
- 企業市民活動
- 攻撃者グループ
- JSOC
- JSOC INSIGHT
- サイバー救急センター
- サイバー救急センターレポート
- LAC Security Insight
- セキュリティ診断レポート
- サイバー・グリッド・ジャパン
- CYBER GRID JOURNAL
- CYBER GRID VIEW
- ラックセキュリティアカデミー
- すごうで
- ランサムウェア
- ゼロトラスト
- SASE
- デジタルアイデンティティ
- 情シス向け
- 対談
- CIS Controls
- Tech Crawling
- クラウド
- クラウドインテグレーション
- データベース
- アジャイル開発
- DevSecOps
- OWASP
- CTF
- FalconNest
- セキュリティ診断
- サプライチェーンリスク
- スレットインテリジェンス
- テレワーク
- リモートデスクトップ
- アーキテクト
- プラス・セキュリティ人材
- 官民学・業界連携
- カスタマーストーリー
- 白浜シンポジウム
- CODE BLUE
- 情報モラル
- クラブ活動
- 初心者向け
- 趣味
- カルチャー
- 子育て、生活
- 広報・マーケティング
- コーポレート
- ライター紹介
- IR
セキュリティソリューション分野でのリーディングカンパニー、株式会社ラック(本社:東京都港区、代表取締役社長:齋藤理、以下ラック)は、自社の研究機関であるサイバーリスク総合研究所のコンピュータセキュリティ研究所から緊急注意喚起レポートを公開しました。
本レポートによると、IDS/IPS、WAF などの防御システムをすり抜け、Webサイトの管理者が気づきにくい手法で攻撃する新手のSQLインジェクション攻撃を行使するボットを確認したと報告されています。また、この新手のSQLインジェクション攻撃はラックのセキュリティオペレーションセンターJSOC(ジェイソック)でも9月30日早朝から検知されており、また、実際の被害に遭ったWebサイトも確認されたため、広く注意喚起する目的で本レポートを公開しました。
本レポートでは、攻撃の特徴、攻撃による影響、対策方法についてそれぞれを詳細に解説しています。一般利用者に被害が及ぶ攻撃であるため、組織のWebサーバ管理者や、LAN管理者がレポートの内容に従って、実際に被害に遭っていないか確認し、迅速な対応を取ることを強く願っています。
以下に、レポートの概要を示します。
攻撃の特徴
- CookieにSQLインジェクション攻撃が埋め込まれている
Cookieに攻撃が含まれるため、Webサーバのログに攻撃の痕跡が記録されない可能性が高い
Cookieに攻撃が含まれるため、一部のIDS/IPSでは検知されないケースがある - 攻撃自体にIDS/IPS検知機能を回避する手法がとられているため、IDS/IPSで検知されないケースがある
攻撃手法
SQLインジェクションは、Webサイトに不正スクリプト(scriptタグ)を埋め込みます。攻撃はGETメソッドやPOSTメソッドを利用し、URIの部分に攻撃の内容が含まれています。しかし、9月30日から、この攻撃手法が進化し、Cookieの値に対してSQLインジェクション攻撃を行うものが確認されました。その結果、現在のIDS/IPSの検知パターンから外れており、検知できない事象が発生しています。加えて攻撃内容に検知機能を回避する手法がとられているため、さらに検知を難しくしている状況です。
今回の攻撃はCookieの値に対して行われており、通常のWebサーバのログに攻撃の内容が含まれていない可能性が高いと思われます。
攻撃元IPアドレスに関する情報
下記IPアドレスからの攻撃が確認されています。今後も継続して攻撃が行われる可能性が高いと思われます。
攻撃元IPアドレス
61.152.246.157 (中国)
211.144.133.161 (中国)
※上記IPアドレスには決してアクセスしないでください。
攻撃対象
ASP(Active Server Pages)で作成されたWebアプリケーションにおいてSQLインジェクションの脆弱性があるもの
※その他の環境も攻撃対象になる可能性あり(現時点では未確認)
攻撃による影響
Webアプリケーション経由でデータベースの内容が改ざんされ、不正なスクリプトが埋め込まれます。その内容を表示したWebサイトに不正なスクリプトが含まれることで、参照したユーザは気づかないうちに不正Webサイトに誘導されてしまいます。
不正Webサイトにはクライアントアプリケーションの脆弱性を狙った攻撃コードが複数設置されているため、クライアントアプリケーションに脆弱性が残っている場合、マルウェアをダウンロードさせられてしまう危険性が高いと考えられます。
推奨する対処方法
<Webサイトの管理者>
- Cookieに含まれる攻撃のためアクセスログに残らない可能性が高いが、念のため、Webサイトのログを確認し、上記IPアドレスからのアクセスが発生していないか確認
- データベース全体を調査し、不正Webサイト(http://drmyy.cn)へのリンクが埋め込まれていないか確認
※上記Webサイトへは決してアクセスしないでください。 - データベーストリガーによるSQLインジェクション攻撃の防御を検討
参考:【DBSL】緊急対応から見たWebサイト用データベースセキュリティ対策
DBSLレポート 緊急対応から見たWebサイト用データベースセキュリティ対策 - WebサーバにCookieのログ取得設定を追加
- セキュリティ診断によって公開アプリケーションの脆弱性の有無を確認
- 攻撃元IPアドレス(61.152.246.157と211.144.133.161)
(このIPアドレスには決してアクセスしないでください)
からのアクセスをファイアウォールやWebサーバで拒否する
<社内LAN管理者>
- クライアントアプリケーションが最新版であるか確認
- クライアントが利用するProxyのログを含めた211.154.163.43
(このIPアドレスには決してアクセスしないでください)
へのWebアクセスが存在しないか確認 - 社内から211.154.163.43
(このIPアドレスには決してアクセスしないでください)
へのアクセスをファイアウォールやProxyサーバで拒否設定をする
最近ではこれらの不正Webサイトの生存期間が短くなっており、別のWebサイトに移転する可能性が十分にあります。
また、内部ネットワークのホストから該当のWebサイトへのアクセスがあった場合、既に攻撃の被害を受けたWebサーバから不正Webサイトに転送され、クライアントパソコン上で悪意のあるプログラムが実行されている可能性があります。
対策に関する参考URL
安全なWebサイトの作り方
http://www.ipa.go.jp/security/vuln/websecurity.html
SQLインジェクション
http://www.ipa.go.jp/security/vuln/vuln_contents/sql.html
SQL注入: #1 実装における対策
http://www.ipa.go.jp/security/awareness/vendor/programmingv2/contents/502.html
本リリースで発表した緊急注意喚起レポートは、以下のWebページからご覧いただけます。
◎緊急注意喚起レポート~新手のSQLインジェクションを行使するボットの確認~
以上
この記事をシェアする
関連記事
タグ
- セキュリティ
- 人材開発・教育
- システム開発
- アプリ開発
- モバイルアプリ
- DX
- AI
- サイバー攻撃
- サイバー犯罪
- 標的型攻撃
- 脆弱性
- 働き方改革
- 企業市民活動
- 攻撃者グループ
- JSOC
- もっと見る +
- JSOC INSIGHT
- サイバー救急センター
- サイバー救急センターレポート
- LAC Security Insight
- セキュリティ診断レポート
- サイバー・グリッド・ジャパン
- CYBER GRID JOURNAL
- CYBER GRID VIEW
- ラックセキュリティアカデミー
- すごうで
- ランサムウェア
- ゼロトラスト
- SASE
- デジタルアイデンティティ
- 情シス向け
- 対談
- CIS Controls
- Tech Crawling
- クラウド
- クラウドインテグレーション
- データベース
- アジャイル開発
- DevSecOps
- OWASP
- CTF
- FalconNest
- セキュリティ診断
- サプライチェーンリスク
- スレットインテリジェンス
- テレワーク
- リモートデスクトップ
- アーキテクト
- プラス・セキュリティ人材
- 官民学・業界連携
- カスタマーストーリー
- 白浜シンポジウム
- CODE BLUE
- 情報モラル
- クラブ活動
- 初心者向け
- 趣味
- カルチャー
- 子育て、生活
- 広報・マーケティング
- コーポレート
- ライター紹介
- IR