「IIS+SQL Serverが狙われている」――ラックがWebサイト改ざん攻撃に警鐘NEWS

ラックは3月中旬に発生した大規模なWebサイト改ざん攻撃の詳細を明らかにすると同時に、企業サイトの管理者に対策を施すよう呼びかけた。

2008年03月27日 19時03分 公開
[堀見誠司,TechTargetジャパン]

 ラックは3月27日、日本で3月中旬に起きた一連のWebサイト改ざん被害についてプレス説明会を開催した。正規のサイトがハッキングされてユーザーがマルウェアに感染するという被害で、国内だけではなく、世界中の企業、組織のサイトを狙った攻撃が数万ページ規模で行われており、同社は顧客企業などに対しあらためて注意を喚起している。

画像 JSOCチーフエバンジェリストの川口氏は「ここまで悪質な攻撃はなかった。アップデートをしていないクライアントPCが格好の標的になる」と語る

 3月に行われた大規模な改ざん攻撃は、企業のWebサイトなどを掲載するWebサーバ上のアプリケーションの脆弱性を突いて、ページを閲覧したユーザーをマルウェアが仕込まれた悪質なサーバへと誘導するリンクを埋め込むというものだ。クライアントPCから金銭につながる個人情報を盗み出すプログラムをダウンロードさせる。

画像 一連の攻撃では、中国にあるマルウェアサーバにリダイレクトする不正なJavaScript(fuckjp.js)をWebサーバに埋め込んでいる
画像 文字列型のテーブルすべてに誘導先のURL(赤字部分)を挿入する《クリックで拡大》

 ラックが運営するセキュリティ監視センターJSOC(Japan Security Operation Center)では、「www.2117966.net」というサイトにアクセスするように仕向けるこの攻撃が、中国のIPアドレスから行われているとみている。2007年11月から3月初旬にかけて特定の顧客企業が中国のアドレスから同様の攻撃を受けていることを検知していたが、3月11日に急激に増加したことを受け、翌12日に注意を呼びかけるリリースを発信した。その後も攻撃は、誘導先のマルウェア感染サーバのIPアドレスを頻繁に変えながら続いており、同社は大規模な改ざん被害が再発する可能性を示唆している。さらに、IDS/IPS(不正侵入検知/防止システム)による検知を回避する手法が取られているため、発見や対策が後手に回る恐れもあるという。

クライアントPCのアプリケーションも更新を

 今回のWebサイトのハッキングに使われているのは、SQLインジェクションという、第三者がWebアプリケーションなどのセキュリティ上の脆弱性を悪用してデータベースの不正な操作を可能とする手法。ラックによると、さまざまな業種の企業が満遍なく狙われているが、最も攻撃を受けているのはWindows Serverの標準Webサービス「IIS(Internet Information Services)」とデータベースサーバ「SQL Server」の組み合わせで運用されているサイトだという。ただし、ハッキングを受けやすい理由は、OSやWebサーバに問題があるのではなく、Active Server Pagesなどで開発されるアプリケーション自体に脆弱性があるためだと同社のJSOCチーフエバンジェリスト、川口 洋氏は指摘する。SQLインジェクションによる攻撃手法は2005年から存在し、同社もWebアプリケーションのセキュリティチェックを広く呼びかけ続けていたが、その一方で「残念ながら声が届いていない企業もある」(川口氏)。

 ラックは攻撃の再発を想定して、サイト管理者やユーザーに次のような対策を推奨している。

○サーバ管理者

  • 不審なURL(www.2117966.net)が含まれていないか、Webサーバのアクセスログを調査
  • Webアプリケーションの脆弱性診断
  • IDS/IPSによるネットワーク監視

○クライアント管理者

  • 不正サイトのIPアドレス「125.46.105.224」「60.172.219.4」へのアクセスを遮断
  • プロキシやファイアウォールのログ確認
  • クライアントPCのウイルスチェック

○ユーザー

  • Windows UpdateでOSのセキュリティパッチを適用
  • OSだけではなくアプリケーションなどもバージョンを最新にしておく。特に「Microsoft Data Access Components(MDAC:MS06-014)」と「RealPlayer」の脆弱性が狙われる

Copyright © ITmedia, Inc. All Rights Reserved.

新着ホワイトペーパー

製品資料 SCSK株式会社

高額なライセンス費用や遅延の課題を解消、集約型SASEの限界を突破する一手

リモートワークの普及に伴い、ゼロトラストやSASEの需要が急速に高まっている。しかし、一般的なクラウド集約型SASEには遅延や高額なライセンス費用など課題も多い。この解決策となるのが分散処理型SASEだ。その仕組みや優位性を解説する。

製品資料 ソフォス株式会社

ランサムウェアからネットワークをどう守る? 知っておきたい3つのポイント

ランサムウェア攻撃が拡大する中、効果的な防御策として注目されているのが、高度なエンドポイント保護機能を導入し、ネットワークスタックを最適化することだ。本資料では、これを実現するための具体的な方法について紹介する。

製品資料 ソフォス株式会社

ランサムウェアを阻止するための、エンドポイント保護のベストプラクティスとは

ランサムウェア対策は、現代の企業にとって喫緊の課題だ。「防御・保護」から「インシデントからの復旧」まで、包括的な対策が必要だが、ここでは特に「エンドポイント保護」にフォーカスして、対策のベストプラクティスを紹介する。

市場調査・トレンド ソフォス株式会社

3400人への調査で分かったランサムウェアの最新動向、攻撃を未然に防ぐ方法とは

3400人を対象に行ったランサムウェア攻撃に関する調査によると、32%のインシデントで脆弱性が悪用されているという。被害が拡大する中、攻撃を未然に防ぐためにはどのような対策が有効なのか。本資料で解説する。

市場調査・トレンド ソフォス株式会社

調査で分かったランサムウェアの現状、日本の組織が重点的に取り組むべき領域

2024年のランサムウェアによる影響は前年に比べ縮小傾向にあるが、予断を許さない状況が続いている。過去1年間にランサムウェア被害を受けた日本の組織を対象とした調査から、2025年に重点的に取り組むべき領域について提言する。

アイティメディアからのお知らせ

From Informa TechTarget

なぜクラウド全盛の今「メインフレーム」が再び脚光を浴びるのか

なぜクラウド全盛の今「メインフレーム」が再び脚光を浴びるのか
メインフレームを支える人材の高齢化が進み、企業の基幹IT運用に大きなリスクが迫っている。一方で、メインフレームは再評価の時を迎えている。

ITmedia マーケティング新着記事

news017.png

「サイト内検索」&「ライブチャット」売れ筋TOP5(2025年5月)
今週は、サイト内検索ツールとライブチャットの国内売れ筋TOP5をそれぞれ紹介します。

news027.png

「ECプラットフォーム」売れ筋TOP10(2025年5月)
今週は、ECプラットフォーム製品(ECサイト構築ツール)の国内売れ筋TOP10を紹介します。

news023.png

「パーソナライゼーション」&「A/Bテスト」ツール売れ筋TOP5(2025年5月)
今週は、パーソナライゼーション製品と「A/Bテスト」ツールの国内売れ筋各TOP5を紹介し...