ログが残らず、検知も難しい新手のSQLインジェクション攻撃が発生

IDSやIPS、ウェブアプリケーションファイアウォール（WAF）などで対応が難しい新手のSQLインジェクション攻撃が発生した。ラックによれば実被害も確認されているという。

ラックの研究機関であるサイバーリスク総合研究所のコンピュータセキュリティ研究所が、今回注意喚起を実施したもので、同社セキュリティオペレーションセンター「JSOC」でも9月30日早朝に攻撃を検知した。同社によれば、すでに被害にあったウェブサイトも確認されているという。

問題の攻撃は、CookieにSQLインジェクション攻撃を埋め込む手口。Cookieを利用するためウェブサーバのログに攻撃の痕跡が残らず、IDSやIPSでも定義されていないことから検知できない可能性があるという。また、攻撃そのものにもIDSやIPSの検知を避ける細工が施されている。

攻撃元のIPアドレスは中国国内のもので、いずれもASP（Active Server Pages）によるウェブアプリケーションを狙ったものだった。脆弱性を攻撃された場合は、スクリプトが埋め込まれ、不正サイトへ誘導されるおそれがあり、脆弱性を攻撃するマルウェアがダウンロードされる。

同社では攻撃元のIPアドレスやドメインを公開。こうしたIPアドレスからの攻撃や、不正サイトへのリンクなどが埋め込まれていないか確認し、ファイアウォールによるアクセス制限を実施したり、ウェブアプリにおける脆弱性の有無を確認しておくなど、被害の防止対策を呼びかけている。

（Security NEXT - 2008/10/02 ）ツイート