［中国／台湾］
大規模なSQLインジェクション攻撃、中国／台湾でも猛威

1万台以上のサーバがマルウェアに感染

（2008年05月20日）

　中国と台湾の数千にも及ぶWebサイトが、大規模なSQLインジェクション攻撃を受け、マルウェアを埋め込まれる事態に陥っている。今年1月から世界各地で発生しているSQLインジェクション攻撃は、地球規模で拡大しているようだ。

　台湾に拠点を置くキュリティ会社Armorize TechnologiesでCEOを務めるウェイン・ファン（Wayne Huang）氏によると、攻撃が最初に察知されたのは5月13日で、IP（Internet Protocol）アドレスを隠していなかった中国のサーバ群が攻撃の起点になっていたという。

　「攻撃の勢力は19日現在でもまったく衰えていない。SQLインジェクション攻撃は、たとえマルウェアを埋め込むことができなくても、多くのWebサイトを破壊できる。攻撃を受けたWebサイトは、修復不能になってしまうケースが多いからだ」（Huang氏）

　SQLインジェクション攻撃は、攻撃者がログインなどのエントリ・フィールドにSQLコードを入力して、データベース・サーバ内のデータの改竄・不正取得を行おうとする攻撃である。

台湾のMackay Memorial HospitalのWebサイト。SQLインジェクション攻撃によって画面が改ざんされ、埋め込まれたSQLコードが表示されている。

　Huang氏によると、5月16日までに数千のWebサイトが攻撃を受け、1万台のサーバがマルウェアに感染したという。なお、感染したサーバの大半は中国内に設置されているもので、大手不動産企業のWebサイトや、自動車愛好家のポータルサイトなども被害にあっている。

　攻撃者は、特定の脆弱性を狙っているのではなく、SQL Serverを使用するWebサイト用に開発された自動SQLインジェクション攻撃エンジンを使っているようだ。

　「攻撃者はGoogleの検索エンジンを利用して、脆弱性のあるWebサイトを発見する。ターゲットとなるWebサイトが見つかると、SQLインジェクション攻撃を仕掛けてマルウェアを埋め込む。（脆弱性のあるアプリケーションを利用している）ユーザーがハッキングされたWebサイトにアクセスすると、マルウェア・ホスティング・サーバからファイルがロードされる仕組みだ。この攻撃手法は、『敵ながらあっぱれ』というぐらい、よく設計されている」（Huang氏）

　Huang氏によると、ターゲットとなっているアプリケーションの脆弱性は、MS06-014（CVE-2006-0003）、MS07-017（CVE-2007-1765）、RealPlayer IERPCtl.IERPCtl.1（CVE-2007-5601）、GLCHAT.GLChatCtrl.1（CVE-2007-5722）、MPS.StormPlayer.1（CVE-2007-4816）、QvodInsert.QvodCtrl.1, DPClient.Vod（CVE-2007-6144）、BaiduBar.Tool.1 （CVE-2007-4105）、VML Exploit（CVE-2006-4868）、PPStream（CVE-2007-4748）だという。

　大規模なSQLインジェクション攻撃は、近年セキュリティ上の大きな脅威となっている。今年4月に発生した大規模なSQLインジェクション攻撃では、英国政府のWebサイトや国連のWebサイトなどを含む多数のWebサイトがハッキングされ、数万台のPCが被害にあっている（関連記事）。

(Sumner Lemon／IDG News Serviceシンガポール支局)