SCAN DISPATCH ： CAのサイトも被害に、SQL Injectionロボット攻撃

SCAN DISPATCH は、アメリカのセキュリティ業界及ハッカーコミュニティから届いたニュースを、狭く絞り込み、深く掘り下げて掲載します。

──
この攻撃が最初に発見されたのは去年の12月28日だが、被害は瞬く間に広まった。

このロボットは、ウエブサイトを訪れたユーザーがユーザー名や住所などを入力するフォームにSQL statementを注入する。MS SQL databaseを使っていて、SQL Injectionの対策を万全に行っていないサイトが、推定で100万近く被害にあったと報道されている。

この攻撃にあったサイトは、データベース上の全てのvarcharとtext fieldにを挿入されてしまう。そしてサイトを訪れたユーザーをiFrameでuc8010.comとucmal.comにリダイレクトし、ユーザーのマシンにオンライン・ゲームのパスワードを盗むキーロガーをインストールする。whoisによればuc8010.comは12月28日、 ucmal.comは12月21日に中国から登録されており、攻撃自体が中国から行われているという推測が強い。Sans InstituteのMark Hofmanは、「ロボットは去年の11月にあったSQL Injection攻撃ロボットに非常に似ているが11月のものに比べて徘徊力と攻撃力が向上した」ために、今回はこれだけの数のサイトが被害にあったとブログで述べている(注1）。

注1
http://isc.sans.org/diary.html?storyid=3823

キーロガーをユーザーのPCにインストールする方法は、2006年の4月に発表された MS06-014という脆弱性、2007年の10月に発見されたRealPlayerの脆弱性、そしてQVOD Playerという中国製のメディア・プレーヤーの脆弱性を悪用しているという報告がある。

さて、このロボットのサーバー側への攻撃を、Breach Security社のRyan Barnettが以下の通り解読している…

【執筆：米国　笠原利香】
──
※ この記事は Scan購読会員向け記事をダイジェスト掲載しました
購読会員登録案内 http://www.ns-research.jp/cgi-bin/ct/p.cgi?w02_ssw