312事件の舞台裏〜インターネットセキュリティの現状

株式会社ラックが、情報セキュリティ人材の育成支援を目的とした「ラックセキュリティアカデミー」を昨年開講し、過去3回実施、関係者によれば、専門家・実務家向けの本格的な有料セミナーながら着実に受講者数を増やしているという。

・第1回「インシデントレスポンスの現場からの報告」(2007.11.29)・第2回「全容解明〜ネットワークに存在する脅威の現況」(2007.12.12)・第3回「セキュアジャパン2008に向けて〜事業継続を困難にするサイバーリスクにどう向き合うか」(2008.3.14)

第4回目のラックセキュリティアカデミーが、2008年5月16日、Scan開催協力の元実施される。CISSPの事例紹介と体験セミナーの他、同社が3月12日に注意喚起した、SQLインジェクション攻撃について、同社運営のオペレーションセンターで独自に情報収集した知見が詳しく解説される。このセミナーの講師である川口氏の寄稿により、講演内容に関する事前情報をお届けする。

ラックセキュリティアカデミー
「3月12日のSQLインジェクション攻撃の舞台裏」
http://www.lac.co.jp/news/seminar_training/seminar/20080516.html

─

●3月12日のSQLインジェクション攻撃の舞台裏

2005年以降、ウェブアプリケーションを狙った攻撃やマルウェアの進化が進み、多数の被害が発生しています。本講演ではJSOCで対応したインシデントを元に、最近のインターネットセキュリティの現状と、2008年3月12日に大騒ぎになった、あのインシデントの舞台裏を中心にお話します。

3月12日にラックは「日本をターゲットとしたSQLインジェクションによるホームページ改ざん行為と、同行為により改ざんされたページへのアクセスによるマルウェア感染について」の注意喚起を出しました。これは中国のIPアドレスから、SQLインジェクションで日本のウェブページを狙って改ざんしようとする攻撃が大量に行われたことに関する注意喚起です。

注意喚起
http://www.lac.co.jp/news/press20080312.html

この「SQLインジェクション」はセキュリティ機器であるIDS/IPSの検知機能を回避するように細工がされていました。これは、ネットワークにIDS/IPSが存在することを前提として、従来の攻撃が改良されて行われたことを示しています。

今回の攻撃によって日本の多数のウェブページが改ざんされています。改ざんされたページにアクセスしたユーザは、攻撃者が用意した悪意のあるページに気づかないうちに誘導され、Real PlayerやWindowsの脆弱性を悪用するプログラムが置かれた誘導先のウェブページでマルウェアを仕込まれてしまいます。

セキュリティアナリストは「セキュリティインシデントの対応」「SQLインジェクションの解析」「悪意のあるウェブページの解析」に追われました。5月16日の第4回目ラックセキュリティアカデミーでは、その舞台裏と解析結果について詳しく解説します。

その他、ボットやP2Pアプリケーションの被害事例や業界別の動向についても解説します。

【執筆：株式会社ラック JSOC事業部 JSOC チーフエバンジェリスト兼セキュリティアナリスト川口洋,CISSP】

●講演概要
「インターネットセキュリティの現状〜3月12日の事件の舞台裏」
・セキュリティ日本史
・中国製ツールの進化の過程
・検索エンジンで攻撃対象を探す
・攻撃対象となるサイトの選び方
・SQLインジェクションの目的の変化
・312事件の攻撃の流れ
・日本の改ざんされたサイトの情報
・被害状況
・攻撃リクエスト
・fuckjp0.js
・攻撃者のプロファイル
・悪意のあるサーバのwhois情報
・SQLインジェクションの攻撃対象
・悪意のあるサーバで狙っている脆弱性一覧
・中国製攻撃ツール
・受動的攻撃で仕込まれるボットの解析結果
・SQLインジェクショントレンドのまとめ

※(講演レジュメより上記概要を構成、講師及講演内容は変更される場合があります)

ラックセキュリティアカデミー
「3月12日のSQLインジェクション攻撃の舞台裏」
http://www.lac.co.jp/news/seminar_training/seminar/20080516.html