海外における個人情報流出事件とその対応 第174回 大規模と小規模組織のウェブサイト 危ないのはどちら? (1)繰り返されるウェブサイト改ざんによる被害
4月に発行されたコンピュータセキュリティのトレーニングを提供するSANS Instituteのニュースレターで、昨年12月に米国内コミュニティカレッジで起こった、ネットワークのマルウェアへの感染事件が紹介されている。カレッジ名は出ていないが、内部関係者が"ジョン"という
国際
海外情報
スタッフの1人が使用するコンピュータがマルウェアに感染して、ボット化してしまった。そして、バイアグラやシアリスといった男性用薬品の広告のスパムメールを、多数のアドレスに送信始めたという。
カレッジは、ネットワークをモニターしていたため、比較的早いうちに事態を探知して収拾。感染したPCを分析した結果、英語でMom-and-Popと呼ばれる、家族経営のような小規模のアート・クラフトショップにアクセスしたことで、感染したことが判明した。
アクセスしたウェブサイトは正規のものだが、ウクライナにいる何者かがプログラムに不正なコードを仕掛けていた。ユーザがアクセスしたところ、アプリケーションへの攻撃を大量に受けて、マルウェアに感染してしまった。
攻撃されたアプリケーションの1つはAppleのQuickTimeの脆弱性を利用したものだった。カレッジのネットワークにはシマンテックのウィルスソフトで防御されていたが、QuickTimeに関するものだけは防ぎきれなかったようだ。その理由の1つとして、攻撃側が利用した脆弱性が見つかったのは、事件の2週間前ということで、新しいものだったことが挙げられる。多数行われた攻撃で、セキュリティソフトが防げなかったのはQuickTimeに関するものだけだったが、攻撃者にとってはこれで十分だったようだ。
ジョンと名乗る人物は、この事件により次のことが分かったと語っている。
・小規模なウェブサイトは、Amazon.comのような大きな規模のサイトよりもリスクが大きい。小規模サイトの持ち主は、サイトが攻撃に遭わないよう保護する専門知識やリソースを十分に持たないためだ。
・感染したウェブサイトは、一般ユーザのPCを攻撃するために使用される。
・ウイルス対策ソフトは防御のための必需品だが、インストールしていても防御は完全とはいえない。最近、攻撃者はターゲットをさらにしぼり込んで、なかなか探知できないようにうまく攻撃を行っている。ウイルス対策ソフトも懸命に対応しているが、次々と新たに登場してくる攻撃に追いつくのが難しい。
・コミュニティカレッジでの件はQuickTimeを狙った攻撃だったが、PCで利用する多数のアプリケーションが標的となっている。OSも同様だ。PCをセキュアに保つためには、マイクロソフトのウェブサイトから、WindowsやExplorer、Officeなど製品に関するパッチなどを、常に自動的に最新のものにする必要がある。QuickTimeやRealPlayer、Adobe Reader、Flash Player、サン・マイクロシステムズのJavaなども、パッチは迅速に適用すること。
●改ざんされたウェブで感染
過去数年、正規のウェブサイト感染の勢いは大変なものだ。セキュリティ企業のSophosが今年第一四半期のセキュリティ脅威のレポートを発表したが、その中でも、まずウェブ脅威が増したことを挙げている。
Sophosの世界の研究員やアナリストのネットワークでもあるSophosLabs(R)によると、2008年第一四半期は5秒に1件のウェブページが感染、言い換えると毎日1万5000件以上のサイトがマルウェアに感染していたという。この数字は2007年と比較すると3倍増だ。
そして、ウェブサイトの感染については、アプリケーションへの攻撃SQLインジェクションが大きな問題になっている。シマンテック広報室の山本雅章PRマネージャも、最近のWebサイトへの攻撃では、「SQLインジェクションという手法を使い、Webサイトにつながっているデータベースから、不正にユーザIDおよびパスワードなどを入手し、iFrameと呼ばれるリンクを埋め込んで、別の悪意あるサイトにリダイレクトさせて、そこからマルウェアをダウンロードさせているのが、一般的に起きていることだ」と現状を説明する。
5月10日付けのトレンドマイクロの研究員によるブログでも、SQLインジェクションで50万件以上のウェブサイトがマルウェアを仕掛けられていると警告している。ブログは、JA_SMALL.QTのインジェクションを受けていることを確認したというもので、攻撃を受けたのはオープンソースのメッセージフォーラムマネージャー、phpBBを使用しているサイトだ。古いバージョンのphpBBを使用しているか、あるいは実装があまかったようだ。
これらのサイトにアクセスすると、幾つかのサーバを通ってリダイレクトされる。リダイレクト先で、PCにインストールされているExplorerやRealPlayerなどの脆弱性の有無を調べられて、脆弱性が存在するようならマルウェアがダウンロードされる。
SQLインジェクションによるウェブサイト改ざんは、今年に入っても…
【執筆:バンクーバー新報 西川桂子】
──
※ この記事は Scan購読会員向け記事をダイジェスト掲載しました
購読会員登録案内
http://www.ns-research.jp/cgi-bin/ct/p.cgi?m-sc_netsec
《ScanNetSecurity》
