SQLインジェクション攻撃の件数が8月に過去最悪を更新 - ラック調査

ラックは、2008年上半期に同社セキュリティ監視センター「JSOC」で検知した不正アクセスなどの状況を取りまとめ、発表した。

半年ごとに実施している同調査は、複数ベンダーのIDSやIPS、ファイアウォールなど、国内各地に設置した約760の機器で検知したセキュリティインシデントを調査し、取りまとめたもの。同社では今回の発表に合わせて記者向けの説明会を実施し、同社のJSOCチーフエバンジェリスト兼セキュリティアナリストの川口洋氏が詳細について明らかにした。

同氏によれば、重要インシデントについて、2006年当時は「ウェブサイト」と「それ以外」の攻撃割合がそれぞれ53％、47％とほぼ半々だったが、ここ2年間で大きく割合が変化。2008年には95％がウェブに対する攻撃だったという。さらにこうした攻撃は、IDSやIPSなどのシグネチャを回避する動きもあり、中国などには不正アクセスのチュートリアルサイトが立ち上げられているなど背景を同氏は説明した。

またウェブ関連のインシデントのうち、76％がSQLインジェクション攻撃によるもの。今年に入って極端な増加傾向にあり、続くクロスサイトスクリプティングの11％に大きな差を付ける結果となった。

SQLインジェクション攻撃は、5月に急上昇して約15万件を突破。翌6月には減少して約10万件まで落ち着いたものの、7月に再び増加。8月にはSQLインジェクション攻撃の検知数は前年ピークの4.5倍にあたる17万4996件と過去最悪の状況に再び陥っている。

同じSQLインジェクション攻撃でも、目的に大きな変化が現れている。以前は、データベース内の機密情報を取得するための攻撃が中心だったが、2008年5月以降は利用者を不正サイトへ誘導し危害を加える「改ざん」が目立った。

同氏によると、消費者が狙われる背景には、セキュリティ更新プログラムが適用されていないなど、一般利用者のセキュリティ対策が未熟であることなどを指摘。SQLインジェクション攻撃の対象は、「IIS」と「SQL Server」を組み合わせたASP環境がほとんどで、それ以外に対する攻撃はわずかだったことを明らかにした。

さらに、こうしたインシデントが発生したサイトは、まったくSQLインジェクション攻撃への対策が取られていないものが大半で、攻撃に対する意識や知識そのものが低かったという。またSQLインジェクション攻撃に対する知識があった場合でも、古くから稼働しているサーバなど、未対策のマシンを利用しているケースもあることを同氏は警告している。

上半期は検知件数において特徴的な出来事があった。同氏によれば通常SQLインジェクション攻撃が止むことはほとんどあり得ないが、6月19日にSQLインジェクション攻撃を行う端末はゼロに近い状態となったという。

同日を境に攻撃元IPの国が中国からブラジルやトルコ、インドなど従来攻撃が少なかった国へシフト。同氏は推測の域は出ないとしながらも、攻撃者が利用するボットネットを変更するなど、攻撃が止んだ同日にメンテナンスなど対応を行っていた可能性があると同氏は分析している。

パッケージソフトを狙った攻撃も目立っている。同氏は、利用するパッケージについて既知の脆弱性を確認し、対策がない場合や情報を公表されていないアプリの利用は避けた方が良いとアドバイス。また定期的に情報を取得し、最新版を利用したり、ウェブアプリケーションファイアウォールの活用などを勧めている。

また古くからあるSSHサービスに対するブルートフォース攻撃が2007年下半期から約70の増加を記録。乗っ取られフィッシングなどに利用されているとしてあわせて注意を呼びかけた。

JSOCチーフエバンジェリスト兼セキュリティアナリストの川口洋氏

（Security NEXT - 2008/09/17 ）ツイート

SQLインジェクション攻撃の件数が8月に過去最悪を更新 - ラック調査

関連リンク

PR

関連記事