【 ここから本文 】

セキュリティ・マネジメント

ソーシャルブックマークに登録 : Yahoo!ブックマークに登録 はてなブックマークに登録 del.icio.usに登録 newsing it!に登録 Buzzurlにブックマーク livedoorクリップに登録 Slashdotにタレコむ イザ!ブックマークに登録 Twitterでつぶやく
print 印刷用ページの表示


[中国/台湾]
大規模なSQLインジェクション攻撃、中国/台湾でも猛威

1万台以上のサーバがマルウェアに感染

(2008年05月20日)

 中国と台湾の数千にも及ぶWebサイトが、大規模なSQLインジェクション攻撃を受け、マルウェアを埋め込まれる事態に陥っている。今年1月から世界各地で発生しているSQLインジェクション攻撃は、地球規模で拡大しているようだ。

 台湾に拠点を置くキュリティ会社Armorize TechnologiesでCEOを務めるウェイン・ファン(Wayne Huang)氏によると、攻撃が最初に察知されたのは5月13日で、IP(Internet Protocol)アドレスを隠していなかった中国のサーバ群が攻撃の起点になっていたという。

 「攻撃の勢力は19日現在でもまったく衰えていない。SQLインジェクション攻撃は、たとえマルウェアを埋め込むことができなくても、多くのWebサイトを破壊できる。攻撃を受けたWebサイトは、修復不能になってしまうケースが多いからだ」(Huang氏)

 SQLインジェクション攻撃は、攻撃者がログインなどのエントリ・フィールドにSQLコードを入力して、データベース・サーバ内のデータの改竄・不正取得を行おうとする攻撃である。

台湾のMackay Memorial HospitalのWebサイト。SQLインジェクション攻撃によって画面が改ざんされ、埋め込まれたSQLコードが表示されている。

 Huang氏によると、5月16日までに数千のWebサイトが攻撃を受け、1万台のサーバがマルウェアに感染したという。なお、感染したサーバの大半は中国内に設置されているもので、大手不動産企業のWebサイトや、自動車愛好家のポータルサイトなども被害にあっている。

 攻撃者は、特定の脆弱性を狙っているのではなく、SQL Serverを使用するWebサイト用に開発された自動SQLインジェクション攻撃エンジンを使っているようだ。

 「攻撃者はGoogleの検索エンジンを利用して、脆弱性のあるWebサイトを発見する。ターゲットとなるWebサイトが見つかると、SQLインジェクション攻撃を仕掛けてマルウェアを埋め込む。(脆弱性のあるアプリケーションを利用している)ユーザーがハッキングされたWebサイトにアクセスすると、マルウェア・ホスティング・サーバからファイルがロードされる仕組みだ。この攻撃手法は、『敵ながらあっぱれ』というぐらい、よく設計されている」(Huang氏)

 Huang氏によると、ターゲットとなっているアプリケーションの脆弱性は、MS06-014(CVE-2006-0003)、MS07-017(CVE-2007-1765)、RealPlayer IERPCtl.IERPCtl.1(CVE-2007-5601)、GLCHAT.GLChatCtrl.1(CVE-2007-5722)、MPS.StormPlayer.1(CVE-2007-4816)、QvodInsert.QvodCtrl.1, DPClient.Vod(CVE-2007-6144)、BaiduBar.Tool.1 (CVE-2007-4105)、VML Exploit(CVE-2006-4868)、PPStream(CVE-2007-4748)だという。

 大規模なSQLインジェクション攻撃は、近年セキュリティ上の大きな脅威となっている。今年4月に発生した大規模なSQLインジェクション攻撃では、英国政府のWebサイトや国連のWebサイトなどを含む多数のWebサイトがハッキングされ、数万台のPCが被害にあっている(関連記事)。

(Sumner Lemon/IDG News Serviceシンガポール支局)




関連記事

▲ページの先頭へ戻る


セキュリティ関連ソリューション

「Forefront」(マイクロソフト)

多層防御で堅牢なサーバ・アプリケーションを実現する


注目のホワイトペーパー

世界規模のIT資産管理にデルが選んだ最適化手法

世界規模のIT資産管理にデルが選んだ最適化手法

14万台を超えるコンピュータ群の標準化とシンプル化をいかに進めたか

THE SECURITY INSIGHT 2009リポート

情報資産を確実に保護し、企業力向上に結び付けるセキュリティとは

マイクロソフトの「Forefront」

マイクロソフト株式会社

NTTコミュニケーションズの「モバイルコネクト」

エヌ・ティ・ティ・コミュニケーションズ株式会社

バラクーダネットワークスジャパンの「Barracuda Web Application Firewall」

バラクーダネットワークスジャパン株式会社

“ネットワーク・インテリジェンス”でリスク管理の最適化を支援するVerizon Business(ベライゾン ビジネス)

Verizon Business

ソリューション&テクノロジー

既存メール環境の変更なしに導入可能な“透過型”スパム対策アプローチの実力

CATV統括運営会社に見る「マトリックススキャンAPEX」導入事例

McAfee SafeBootでの実績を土台にマカフィー製品を本格展開するマクニカネットワークス

マカフィーによる旧セーフブート社買収のシナジー効果を存分に生かす

企業の成長をサポートするサンのセキュリティソリューション

ビジネスのパフォーマンスは安全で積極的な情報活用から

企業に「安心・安全」を供給する日立ソフトの情報セキュリティ

「秘文」から「WriteShield」まで、一貫する情報セキュリティコンセプトとは

ビジネスを活性化するNECソフトのコミュニケーションセキュリティ

情報の堅ろうな保護と自由な共有を同時に実現

拡大するバラクーダネットワークスのセキュリティアプライアンス戦略

スパムメール対策からロードバランサ、Webアプリケーション保護まで

製品一覧

キャッチアップ

最大のセキュリティ・ホールは従業員のデスク周辺

CSO編集部を抜き打ちチェック、露呈した危機管理のお粗末さ

PCI DSSに準拠する際の3つのポイント

導入前・導入時に注意すべき点はここだ!

教科書では教えてくれないPCI DSS認定取得のコツ

経験者が語るPCI DSSの「認定取得まで」と「それから」

PCI DSSの“進化”を読み解く──強化された「12の要件」

2,500ものフィードバックを新版に反映

多様化・巧妙化するフィッシング詐欺手法

目的が「偽サイトへの誘導」から「マルウェアのインストール」に

ハッカーは もはやルートキットを使わない

感染攻撃を行う脅威全体の1%未満

セキュリティ侵害、競合の次に狙われるのは“自社”

「基本的な対策さえ講じていない」と専門家らが指摘

依然として甘い個人ユーザーのセキュリティ対策

500件以上の事例調査から浮かび上がる業界別“脅威動向”

キーパーソン

情報セキュリティ・ビジネスは不況に強い──シマンテック新CEO

SaaSに注力し、5年以内に事業の20%をサービスとして提供していく見込みと説明

シスコのチェンバースCEO、「クラウド・コンピューティングのセキュリティは“悪夢”だ」

セキュリティ専門家は「スワンプ(泥沼)コンピューティングと呼ぶほうが適切」と警告

ITスキルがあるだけでは情報セキュリティの専門家には不適格――情報セキュリティフォーラム(ISF) ハワード・シュミット会長

元ホワイトハウスのCSOから見た景気低迷下における企業の取り組み姿勢

ファイアウォールの父が語るセキュリティ管理のいま――チェック・ポイント会長兼CEO、ギル・シュエッド氏

「単一エージェントでセキュリティ管理を簡素化する」

プルーフポイントCEO、統合メール/データ・セキュリティ製品の日本市場戦略を明らかに

クラウド・サービスを含むあらゆる形態を駆使し統合的なソリューションを提供

セキュリティ連載

ITエキスパートのための法律入門

ITエキスパートのための法律入門(連載中)

とことんわかりにくい法律を とことんわかりやすく解説!

サイバー・セキュリティ[罪と罰]

サイバー・セキュリティ[罪と罰](全4回)

最新クラッキングの脅威を知り、みずからの身を守る

エンドポイント・セキュリティ対策の勘所

エンドポイント・セキュリティ対策の勘所(全2回)

クライアント環境を襲う各種の脅威に立ち向かう

情報漏洩100%対策

情報漏洩100%対策(全7回)

あらゆるリスク、ケースを徹底検証

プロアクティブ・セキュリティ

プロアクティブ・セキュリティ(全14回)

見えない敵に先手を打つ

Weekly Ranking

集計期間:06/28〜07/04



Computerworld Global
米国
英国
中国
ドイツ
オーストラリア
シンガポール
その他の国