SQLインジェクション攻撃の件数が8月に過去最悪を更新 - ラック調査
ラックは、2008年上半期に同社セキュリティ監視センター「JSOC」で検知した不正アクセスなどの状況を取りまとめ、発表した。
半年ごとに実施している同調査は、複数ベンダーのIDSやIPS、ファイアウォールなど、国内各地に設置した約760の機器で検知したセキュリティインシデントを調査し、取りまとめたもの。同社では今回の発表に合わせて記者向けの説明会を実施し、同社のJSOCチーフエバンジェリスト兼セキュリティアナリストの川口洋氏が詳細について明らかにした。
同氏によれば、重要インシデントについて、2006年当時は「ウェブサイト」と「それ以外」の攻撃割合がそれぞれ53%、47%とほぼ半々だったが、ここ2年間で大きく割合が変化。2008年には95%がウェブに対する攻撃だったという。さらにこうした攻撃は、IDSやIPSなどのシグネチャを回避する動きもあり、中国などには不正アクセスのチュートリアルサイトが立ち上げられているなど背景を同氏は説明した。
またウェブ関連のインシデントのうち、76%がSQLインジェクション攻撃によるもの。今年に入って極端な増加傾向にあり、続くクロスサイトスクリプティングの11%に大きな差を付ける結果となった。
SQLインジェクション攻撃は、5月に急上昇して約15万件を突破。翌6月には減少して約10万件まで落ち着いたものの、7月に再び増加。8月にはSQLインジェクション攻撃の検知数は前年ピークの4.5倍にあたる17万4996件と過去最悪の状況に再び陥っている。
同じSQLインジェクション攻撃でも、目的に大きな変化が現れている。以前は、データベース内の機密情報を取得するための攻撃が中心だったが、2008年5月以降は利用者を不正サイトへ誘導し危害を加える「改ざん」が目立った。
同氏によると、消費者が狙われる背景には、セキュリティ更新プログラムが適用されていないなど、一般利用者のセキュリティ対策が未熟であることなどを指摘。SQLインジェクション攻撃の対象は、「IIS」と「SQL Server」を組み合わせたASP環境がほとんどで、それ以外に対する攻撃はわずかだったことを明らかにした。
さらに、こうしたインシデントが発生したサイトは、まったくSQLインジェクション攻撃への対策が取られていないものが大半で、攻撃に対する意識や知識そのものが低かったという。またSQLインジェクション攻撃に対する知識があった場合でも、古くから稼働しているサーバなど、未対策のマシンを利用しているケースもあることを同氏は警告している。
上半期は検知件数において特徴的な出来事があった。同氏によれば通常SQLインジェクション攻撃が止むことはほとんどあり得ないが、6月19日にSQLインジェクション攻撃を行う端末はゼロに近い状態となったという。
同日を境に攻撃元IPの国が中国からブラジルやトルコ、インドなど従来攻撃が少なかった国へシフト。同氏は推測の域は出ないとしながらも、攻撃者が利用するボットネットを変更するなど、攻撃が止んだ同日にメンテナンスなど対応を行っていた可能性があると同氏は分析している。
パッケージソフトを狙った攻撃も目立っている。同氏は、利用するパッケージについて既知の脆弱性を確認し、対策がない場合や情報を公表されていないアプリの利用は避けた方が良いとアドバイス。また定期的に情報を取得し、最新版を利用したり、ウェブアプリケーションファイアウォールの活用などを勧めている。
また古くからあるSSHサービスに対するブルートフォース攻撃が2007年下半期から約70の増加を記録。乗っ取られフィッシングなどに利用されているとしてあわせて注意を呼びかけた。
JSOCチーフエバンジェリスト兼セキュリティアナリストの川口洋氏
(Security NEXT - 2008/09/17 )
ツイート
関連リンク
PR
関連記事
奨学生交流サイトに不正アクセス、個人情報が流出か - 大塚敏美育英奨学財団
水道メーター工事名簿が一時所在不明に - 高齢者が持ち帰る
GMO-PG、多要素認証による本人確認サービスを開始
公募出演者への事務連絡メールで誤送信 - さいたま芸術劇場
57年分の卒業証書授与台帳を紛失 - 都立特別支援学校
事故調査会社がランサム被害 - 委託元の損保などに影響
ランサム被害、BF攻撃で乗っ取られた再委託先PC経由で - CTC
「Jenkins」のコアやプラグインに複数の脆弱性
OTPに利用される「OATH Toolkit」に権限昇格の脆弱性
運用監視ツール「Cacti」に複数の脆弱性 - アップデートで解消