ゴルフ専門ポータルサイトを運営するゴルフダイジェスト・オンライン(東京都港区)は2日、同社サーバーが不正アクセスを受け改ざんされたとして、同社サービスをすべて停止した。個人情報流出の可能性は否定している。
同社によると、9月30日午前11時頃、サーバーの一部が改ざんされているのを発見。サービスを止めて改修し翌朝には復旧したものの、不安定な状態が続くため再度停止。全面復旧に向けて断続的なテスト運用を続けながら調査を行っていたが、2日午後6時、再修正が必要と判断しサービスを全面停止した。
同社が9月30日10時から同日午後9時の間に配信したメールの一部には、攻撃サイトに誘導する文字列が記載されている場合があり、アクセスするとウイルスに感染するおそれがあるという。配信メールに不正なリンクを混入させる正規サイト改ざんは、これまでにないパターンだ。
同社が公表しているウイルス情報からは、一連の正規サイト改ざんと同じ攻撃者によるものとみられるが、同社は現在調査を進めているところであり、被害の状況や規模などについての詳細は、現段階では公表できる状態にないという。同社サイトは今年7月、中国からのSQLインジェクション攻撃を受けて改ざんされた。このとき攻撃サイトに誘導する不正なスクリプトのリンクが埋め込まれたが、それについては対策を行っており、今回は異なる攻撃だとコメントしている。
・当社サービス全面停止について(ゴルフダイジェスト・オンライン)
http://www.golfdigest.co.jp/
■正規サイト改ざんに新手の攻撃手法が登場
同社サイトへの攻撃との関連については不明だが、正規サイトを改ざんする新手の攻撃手法が報告されている。
セキュリティ専門機関の米SANS Instituteは現地時間9月29日、Cookieを使ったSQLインジェクション攻撃を仕掛ける、新手のASPROXボットを報告。今月2日にはセキュリティソリューションサービスのラック(東京都港区)もまた、ボットからの同様の攻撃を確認したとして注意を呼び掛けた。
SQLインジェクションは、Webサーバーからデータベースへの問い合わせに、外部からコマンドを混入させ、データベースを不正に操作しようとする攻撃。データベースに保存されているデータの改ざんや不正取得のほか、システムに侵入するための手口としても悪用されている。
ASPROX(アスプロクス)は、ユーザーのパソコンを外部から操ろうとするボットのひとつ。Webアクセスの中継機能を持っており、感染パソコンが攻撃者に代わってWebサーバーに攻撃を仕掛けてしまう。
従来のSQLインジェクションは、URLのパラメータやフォーム入力のデータを使って攻撃を仕掛けるものだったが、Cookieに仕込んで送り込むことによっても同様の攻撃ができ、不正侵入の検知・防止システムの一部においては、想定外の攻撃で検出できないものもあるという。また、標準設定ではCookieをログに記録しないWebサーバーがあり、攻撃の痕跡が残らない可能性も高い。
・【緊急注意喚起】新手のSQLインジェクションを行使するボットの確認(ラック)
http://www.lac.co.jp/news/press20081002.html
・ASPROX mutante[英文](SANS Institute)
http://isc.sans.org/diary.html?storyid=5092
(2008/10/03 インターネットセキュリティニュース)