日本アイ・ビー・エムISS事業部(東京都品川区)は25日、同社の監視センターSOC(Security Operation Center)で、SQLインジェクションを使ったウェブサイトの攻撃が再開されたのを確認したと発表した。
この攻撃は、ウェブアプリケーションの脆弱性を突いて、ウイルス感染用のJavaScriptを読み込ませるSCRIPTタグをウェブページに埋め込むもの。今月11日の夜から始まり、トレンドマイクロをはじめとする各社の正規サイトやタレントの公式ブログなどが次々に改ざんされた。サイト攻撃は、その後いったんは収束し、不正なJavaScriptが置かれたサイトもアクセスできない状態になっていたが、24日19時ごろから再びサイト攻撃が始まったらしい。新たなサイトの改ざんはもちろん、前回の攻撃後に根本的な脆弱性対策を実施していないサイトについては、再び改ざんされるおそれがある。
ブラウザを攻撃する不正なJavaScriptは、マイクロソフトのデータベースコンポーネントMDAC(Microsoft Database Access Components)やVML、RealPlayerなどの、さまざまな既知の脆弱性を突く攻撃コードを実行し、閲覧者のパソコンに悪質なプログラムをインストールしようとする。前回の攻撃では、SCRIPTタグの埋め込みに失敗しJavaScriptが自動実行されないケースも多々見られたが、トレンドマイクロでは改ざんされた31ページ中、6ページは自動的に実行される状態だったと報告している。未修正の脆弱性がひとつでも残っていれば、改ざんされた正規サイトを開くだけで、悪質なプログラムがインストールされてしまう。
編集部の28日昼時点の調査では、主要なウイルス対策ソフトが攻撃コードを検出し、攻撃成立前にブロックしてくれるようだが、昨日から今日にかけて攻撃コードの内容が変化していることもあり、予断を許さない。OSやブラウザ、使用しているプラグインなどを、脆弱性が修正された最新の状態にするとともに、ウイルス対策ソフトの定義ファイルも忘れずに更新しておいていただきたい。
(2008/03/28 ネットセキュリティニュース)
■【再開】大規模なWebサイトの改ざん(IBM ISS)
http://www.isskk.co.jp/SOC_report.html