大規模なSQLインジェクション攻撃、中国/台湾でも猛威
1万台以上のサーバがマルウェアに感染中国と台湾の数千にも及ぶWebサイトが、大規模なSQLインジェクション攻撃を受け、マルウェアを埋め込まれる事態に陥っている。今年1月から世界各地で発生しているSQLインジェクション攻撃は、地球規模で拡大しているようだ。
台湾に拠点を置くキュリティ会社Armorize TechnologiesでCEOを務めるウェイン・ファン(Wayne Huang)氏によると、攻撃が最初に察知されたのは5月13日で、IP(Internet Protocol)アドレスを隠していなかった中国のサーバ群が攻撃の起点になっていたという。
「攻撃の勢力は19日現在でもまったく衰えていない。SQLインジェクション攻撃は、たとえマルウェアを埋め込むことができなくても、多くのWebサイトを破壊できる。攻撃を受けたWebサイトは、修復不能になってしまうケースが多いからだ」(Huang氏)
SQLインジェクション攻撃は、攻撃者がログインなどのエントリ・フィールドにSQLコードを入力して、データベース・サーバ内のデータの改竄・不正取得を行おうとする攻撃である。
Huang氏によると、5月16日までに数千のWebサイトが攻撃を受け、1万台のサーバがマルウェアに感染したという。なお、感染したサーバの大半は中国内に設置されているもので、大手不動産企業のWebサイトや、自動車愛好家のポータルサイトなども被害にあっている。
攻撃者は、特定の脆弱性を狙っているのではなく、SQL Serverを使用するWebサイト用に開発された自動SQLインジェクション攻撃エンジンを使っているようだ。
「攻撃者はGoogleの検索エンジンを利用して、脆弱性のあるWebサイトを発見する。ターゲットとなるWebサイトが見つかると、SQLインジェクション攻撃を仕掛けてマルウェアを埋め込む。(脆弱性のあるアプリケーションを利用している)ユーザーがハッキングされたWebサイトにアクセスすると、マルウェア・ホスティング・サーバからファイルがロードされる仕組みだ。この攻撃手法は、『敵ながらあっぱれ』というぐらい、よく設計されている」(Huang氏)
Huang氏によると、ターゲットとなっているアプリケーションの脆弱性は、MS06-014(CVE-2006-0003)、MS07-017(CVE-2007-1765)、RealPlayer IERPCtl.IERPCtl.1(CVE-2007-5601)、GLCHAT.GLChatCtrl.1(CVE-2007-5722)、MPS.StormPlayer.1(CVE-2007-4816)、QvodInsert.QvodCtrl.1, DPClient.Vod(CVE-2007-6144)、BaiduBar.Tool.1 (CVE-2007-4105)、VML Exploit(CVE-2006-4868)、PPStream(CVE-2007-4748)だという。
大規模なSQLインジェクション攻撃は、近年セキュリティ上の大きな脅威となっている。今年4月に発生した大規模なSQLインジェクション攻撃では、英国政府のWebサイトや国連のWebサイトなどを含む多数のWebサイトがハッキングされ、数万台のPCが被害にあっている(関連記事)。
(Sumner Lemon/IDG News Serviceシンガポール支局)
