セキュリティ機器の運用監視サービスを手がけるラックは、3月27日、記者説明会を開催。3月中旬から国内で確認されているWebページの改ざんを狙った攻撃について説明した。現在も攻撃は続いているという。
埋め込まれた「fuckjp.js」、通常時の70~100倍の攻撃を確認
ラック JSOC チーフエバンジェリスト セキュリティアナリストである川口 洋氏
「ユーザーがごく普通に見ているWebサイトにまで危険が及んでいる。これまではサーバ管理者だけが気をつけていればよかったものが、それにとどまらない、大ごとになっている」。ラック JSOC チーフエバンジェリスト セキュリティアナリストである川口 洋氏は、Webサイトの改ざんを狙った攻撃が続く原状をこう危惧する。
ラックによると、日本企業のWebサイトの改ざんを狙ったと思われる攻撃が目立ち始めたのは3月2日から。特定企業をターゲットとしたもので、昨年11月~12月にかけて世界中で発生した、大規模攻撃の際と同じ中国のIPアドレスが攻撃元だったという。
その後、3月11日になって攻撃が増加。「通常時の70~100倍以上」(同社)の攻撃を確認したため、3月12日、同社のWebサイトなどで注意を喚起し、並行して攻撃手法の調査を実施した。
昨年11月~12月に発生した大規模攻撃のあとに終息していたSQLインジェクションが再び増加している
攻撃に用いられた手法は「SQLインジェクション」。SQLインジェクションは、Webアプリケーションのセキュリティ対策の不備を突き、データベースに不正なSQL文を注入して実行させる。今回のケースでは、文字列型のテーブルに対して、不正なWebサーバに置かれたJavaScriptへのリンクを埋め込もうとしていた。攻撃が成功すると、データベースによって生成されたWebページが改ざんされ、サイトに訪れたユーザーが意識していなくてもマルウェアがダウンロードされる。ラックによると、確認されたJavaScriptは「fuckjp.js」「fuckjp0.js」のいずれか。転送先のWebサーバは、「www.2117966.net」※だった。
※ログの確認や対策の際の参考のために不正サイトのURLを記しています。実際には直接アクセスしないようにご注意ください(編集部)。
その後、13日にはいったん攻撃元のホストが停止。だが、「これで一安心とはいかなかった」(川口氏)。19日には、2117966.netのDNSが書き換えられ、21日になって再び不正なWebサーバが稼動していることを確認したという。
今回のWeb改ざんを狙った攻撃の手法
24日には、同社のセキュリティ監視サービスに契約する企業のうち20社において、ふたたび攻撃が再開されていることを確認。このとき埋め込まれていたJavaScriptも、先に確認されていたものと同じだった。同様の攻撃は現在も続いているという。
一連の攻撃手法について、川口氏は「過去の資産が流用されている」と指摘する。いずれのケースでも、以前の攻撃において使用されたコードの流用や、改ざんに成功したサイトに対する再攻撃が散見されるという。ただ、今回のケースで見られたように、DNSを書き換えたり、ドメインを頻繁に変更するため、URLフィルタリングなどで防げないのが厄介だ。
ラックでは、改ざんの被害に遭わないために、サーバ管理者に対して、アクセスログやデータベースに格納されているデータの確認を行なうよう呼びかけている。また、クライアントPCの管理者は、不正サイトへアクセスした痕跡がないかファイアウォールのログを確認したり、一般利用者はOSやアプリケーション、アンチウイルスの定義ファイルを最新にするよう勧めている。
