Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

SQLインジェクション攻撃の件数が8月に過去最悪を更新 - ラック調査

ラックは、2008年上半期に同社セキュリティ監視センター「JSOC」で検知した不正アクセスなどの状況を取りまとめ、発表した。

半年ごとに実施している同調査は、複数ベンダーのIDSやIPS、ファイアウォールなど、国内各地に設置した約760の機器で検知したセキュリティインシデントを調査し、取りまとめたもの。同社では今回の発表に合わせて記者向けの説明会を実施し、同社のJSOCチーフエバンジェリスト兼セキュリティアナリストの川口洋氏が詳細について明らかにした。

同氏によれば、重要インシデントについて、2006年当時は「ウェブサイト」と「それ以外」の攻撃割合がそれぞれ53%、47%とほぼ半々だったが、ここ2年間で大きく割合が変化。2008年には95%がウェブに対する攻撃だったという。さらにこうした攻撃は、IDSやIPSなどのシグネチャを回避する動きもあり、中国などには不正アクセスのチュートリアルサイトが立ち上げられているなど背景を同氏は説明した。

またウェブ関連のインシデントのうち、76%がSQLインジェクション攻撃によるもの。今年に入って極端な増加傾向にあり、続くクロスサイトスクリプティングの11%に大きな差を付ける結果となった。

SQLインジェクション攻撃は、5月に急上昇して約15万件を突破。翌6月には減少して約10万件まで落ち着いたものの、7月に再び増加。8月にはSQLインジェクション攻撃の検知数は前年ピークの4.5倍にあたる17万4996件と過去最悪の状況に再び陥っている。

同じSQLインジェクション攻撃でも、目的に大きな変化が現れている。以前は、データベース内の機密情報を取得するための攻撃が中心だったが、2008年5月以降は利用者を不正サイトへ誘導し危害を加える「改ざん」が目立った。

同氏によると、消費者が狙われる背景には、セキュリティ更新プログラムが適用されていないなど、一般利用者のセキュリティ対策が未熟であることなどを指摘。SQLインジェクション攻撃の対象は、「IIS」と「SQL Server」を組み合わせたASP環境がほとんどで、それ以外に対する攻撃はわずかだったことを明らかにした。

さらに、こうしたインシデントが発生したサイトは、まったくSQLインジェクション攻撃への対策が取られていないものが大半で、攻撃に対する意識や知識そのものが低かったという。またSQLインジェクション攻撃に対する知識があった場合でも、古くから稼働しているサーバなど、未対策のマシンを利用しているケースもあることを同氏は警告している。

上半期は検知件数において特徴的な出来事があった。同氏によれば通常SQLインジェクション攻撃が止むことはほとんどあり得ないが、6月19日にSQLインジェクション攻撃を行う端末はゼロに近い状態となったという。

同日を境に攻撃元IPの国が中国からブラジルやトルコ、インドなど従来攻撃が少なかった国へシフト。同氏は推測の域は出ないとしながらも、攻撃者が利用するボットネットを変更するなど、攻撃が止んだ同日にメンテナンスなど対応を行っていた可能性があると同氏は分析している。

パッケージソフトを狙った攻撃も目立っている。同氏は、利用するパッケージについて既知の脆弱性を確認し、対策がない場合や情報を公表されていないアプリの利用は避けた方が良いとアドバイス。また定期的に情報を取得し、最新版を利用したり、ウェブアプリケーションファイアウォールの活用などを勧めている。

また古くからあるSSHサービスに対するブルートフォース攻撃が2007年下半期から約70の増加を記録。乗っ取られフィッシングなどに利用されているとしてあわせて注意を呼びかけた。

JSOCチーフエバンジェリスト兼セキュリティアナリストの川口洋氏
JSOCチーフエバンジェリスト兼セキュリティアナリストの川口洋氏

(Security NEXT - 2008/09/17 ) このエントリーをはてなブックマークに追加

関連リンク

PR

関連記事

「Fluentd」向けプラグイン「parse Filter Plugin」に脆弱性
ふるさと納税書類を誤送付、システム設定ミスで - 川南町
「クラウドコンピューティングのためのセキュリティガイダンス 第4版」が公開中
11月のフィッシング報告は414件増の1396件 - 「Apple」関連が7割
MSのマルウェアスキャンエンジンに深刻な脆弱性 - 定例外アップデートを実施
個人データの海外移転、「国内同水準」要件でパブコメ - 個人情報保護委
ゴルフ大会参加者の個人情報が所在不明 - 毎日放送
漫才コンテスト「M-1」のプレス向けメールで誤送信 - 朝日放送
脆弱性2件を修正した「OpenSSL 1.0.2n」がリリース
多数メールクライアントに送信者偽装できる「Mailsploit」が判明 - 送信ドメイン認証では防げず