セキュリティ対策の株式会社ラック

閉じる

企業や組織のセキュリティ事故発生時はこちら

緊急対応窓口:サイバー救急センター®

ご相談は予約不要、24時間対応

電話で相談する
0120-362-119
メールで相談する
サイバー救急センター®のメールアドレス
自分で調べる
「FalconNest」について

アーカイブ

【緊急注意喚起】 新手のSQLインジェクションを行使するボットの確認

2008年10月2日 | 注意喚起

セキュリティソリューション分野でのリーディングカンパニー、株式会社ラック(本社:東京都港区、代表取締役社長:齋藤理、以下ラック)は、自社の研究機関であるサイバーリスク総合研究所のコンピュータセキュリティ研究所から緊急注意喚起レポートを公開しました。

本レポートによると、IDS/IPS、WAF などの防御システムをすり抜け、Webサイトの管理者が気づきにくい手法で攻撃する新手のSQLインジェクション攻撃を行使するボットを確認したと報告されています。また、この新手のSQLインジェクション攻撃はラックのセキュリティオペレーションセンターJSOC(ジェイソック)でも9月30日早朝から検知されており、また、実際の被害に遭ったWebサイトも確認されたため、広く注意喚起する目的で本レポートを公開しました。

本レポートでは、攻撃の特徴、攻撃による影響、対策方法についてそれぞれを詳細に解説しています。一般利用者に被害が及ぶ攻撃であるため、組織のWebサーバ管理者や、LAN管理者がレポートの内容に従って、実際に被害に遭っていないか確認し、迅速な対応を取ることを強く願っています。

以下に、レポートの概要を示します。

攻撃の特徴

  • CookieにSQLインジェクション攻撃が埋め込まれている
    Cookieに攻撃が含まれるため、Webサーバのログに攻撃の痕跡が記録されない可能性が高い
    Cookieに攻撃が含まれるため、一部のIDS/IPSでは検知されないケースがある
  • 攻撃自体にIDS/IPS検知機能を回避する手法がとられているため、IDS/IPSで検知されないケースがある

攻撃手法

SQLインジェクションは、Webサイトに不正スクリプト(scriptタグ)を埋め込みます。攻撃はGETメソッドやPOSTメソッドを利用し、URIの部分に攻撃の内容が含まれています。しかし、9月30日から、この攻撃手法が進化し、Cookieの値に対してSQLインジェクション攻撃を行うものが確認されました。その結果、現在のIDS/IPSの検知パターンから外れており、検知できない事象が発生しています。加えて攻撃内容に検知機能を回避する手法がとられているため、さらに検知を難しくしている状況です。

今回の攻撃はCookieの値に対して行われており、通常のWebサーバのログに攻撃の内容が含まれていない可能性が高いと思われます。

攻撃元IPアドレスに関する情報

下記IPアドレスからの攻撃が確認されています。今後も継続して攻撃が行われる可能性が高いと思われます。

攻撃元IPアドレス

61.152.246.157 (中国)
211.144.133.161 (中国)

※上記IPアドレスには決してアクセスしないでください。

攻撃対象

ASP(Active Server Pages)で作成されたWebアプリケーションにおいてSQLインジェクションの脆弱性があるもの
※その他の環境も攻撃対象になる可能性あり(現時点では未確認)

攻撃による影響

Webアプリケーション経由でデータベースの内容が改ざんされ、不正なスクリプトが埋め込まれます。その内容を表示したWebサイトに不正なスクリプトが含まれることで、参照したユーザは気づかないうちに不正Webサイトに誘導されてしまいます。

不正Webサイトにはクライアントアプリケーションの脆弱性を狙った攻撃コードが複数設置されているため、クライアントアプリケーションに脆弱性が残っている場合、マルウェアをダウンロードさせられてしまう危険性が高いと考えられます。

推奨する対処方法

<Webサイトの管理者>

  • Cookieに含まれる攻撃のためアクセスログに残らない可能性が高いが、念のため、Webサイトのログを確認し、上記IPアドレスからのアクセスが発生していないか確認
  • データベース全体を調査し、不正Webサイト(http://drmyy.cn)へのリンクが埋め込まれていないか確認
    ※上記Webサイトへは決してアクセスしないでください。
  • データベーストリガーによるSQLインジェクション攻撃の防御を検討
    参考:【DBSL】緊急対応から見たWebサイト用データベースセキュリティ対策
    DBSLレポート 緊急対応から見たWebサイト用データベースセキュリティ対策
  • WebサーバにCookieのログ取得設定を追加
  • セキュリティ診断によって公開アプリケーションの脆弱性の有無を確認
  • 攻撃元IPアドレス(61.152.246.157と211.144.133.161)
    (このIPアドレスには決してアクセスしないでください)
    からのアクセスをファイアウォールやWebサーバで拒否する

<社内LAN管理者>

  • クライアントアプリケーションが最新版であるか確認
  • クライアントが利用するProxyのログを含めた211.154.163.43
    (このIPアドレスには決してアクセスしないでください)
    へのWebアクセスが存在しないか確認
  • 社内から211.154.163.43
    (このIPアドレスには決してアクセスしないでください)
    へのアクセスをファイアウォールやProxyサーバで拒否設定をする

最近ではこれらの不正Webサイトの生存期間が短くなっており、別のWebサイトに移転する可能性が十分にあります。
また、内部ネットワークのホストから該当のWebサイトへのアクセスがあった場合、既に攻撃の被害を受けたWebサーバから不正Webサイトに転送され、クライアントパソコン上で悪意のあるプログラムが実行されている可能性があります。

対策に関する参考URL

安全なWebサイトの作り方
http://www.ipa.go.jp/security/vuln/websecurity.html

SQLインジェクション
http://www.ipa.go.jp/security/vuln/vuln_contents/sql.html

SQL注入: #1 実装における対策
http://www.ipa.go.jp/security/awareness/vendor/programmingv2/contents/502.html

以上


アーカイブ一覧に戻る

メールマガジン

サイバーセキュリティや
ラックに関する情報を
お届けします。

page top