SQLインジェクション攻撃によるサイト改ざんが相次いでいる。本通信でも10月以降、ゴルフダイジェストオンラインの一時サービス停止や、福井県、徳島県、全農、JR北海道のサイトが改ざんされた件についてお伝えしてきたが、新たに、びわこ競艇と多摩川競艇のホームページ、日本棋院のネット対局サービス、オンラインゲーム「ファンタテニス」公式サイト、長野県駒ヶ根市と飯島町のメール配信システムが改ざんされていたことが発覚した。
これらのサイトは、セキュリティサービスのラック(東京都港区)が10月2日と6日に注意を呼び掛けた、Cookieを使うSQLインジェクション攻撃により改ざんされたとみられ、IBMインターネットセキュリティシステムズ(東京都品川区)の週次レポートで、これらのサイトが不正アクセスを受けた時期に多数の攻撃活動が行われていたことを読み取れる。ラックによると、この攻撃では、マイクロソフト社製のWebサーバーIIS/ASP/ASP.NET上で開発されたWebサイトを狙ってデータベースの改ざんが行われる。
■びわこ/多摩川競艇のHP、不正アクセス受け改ざん~ウイルス感染のおそれ
滋賀県は8日、県が運営するびわこ競艇のホームぺージでBBSが改ざんされたことを明らかにした。また、多摩川競艇ホームページでも同様にBBSを改ざんされていたことが9日、公表された。どちらのホームぺージも、通信情報サービスなどを行うトランスワード(本社:神戸市東灘区)が運営しており、同社が運営する尼崎競艇、住之江競艇、三国競艇、下関競艇のホームページでもBBSがメンテナンス中とされている。
びわこ競艇と多摩川競艇の告知によると、8日午前3時37分から同9時45分までに両ホームページのBBSを閲覧していた場合、ウイルスに感染したおそれがある。ウイルスは、Flash Playerの脆弱性を悪用して別のウイルスをダウンロードしようとするもので、Flash Player 9.0.115.0およびそれ以前を利用している場合、「Down.exe」「Floader.exe」「newupdate.htm」というファイルがダウンロードされる。
告知によると、9日の時点では、このファイルを実行しても活動は見られないが、両ホームページでは、これらが今後どのような動作をするかわからないとして、ウイルス対策ソフトの導入と上記ファイルの削除を呼びかけている。
・びわこ競艇ホームページからのお詫びとお知らせ(びわこ競艇ホームページ管理運営会社/トランスワード)
http://www.biwako.gr.jp/
・多摩川競艇ホームページからのお詫びとお知らせ(多摩川競艇ホームページ管理運営会社/トランスワード)
http://www.tamagawa.com/asp/tamagawa/InfoByJyo/info.asp
■日本棋院のネット対局サービス、不正アクセス受け改ざん~ウイルス感染のおそれ
日本棋院(本院:東京都千代田区)が運営するネット対局サービス「幽玄の間」が改ざんされていたことがわかった。
5日付の告知によると、11月24日午前7時から同10時30分までの間にスクリプトエラーによるトラブルが発生したため、調査を行ったところ、ネット対局室システムの作業用PCに不正アクセスが行われ、ネット対局室お知らせ部分と、幽玄の間ホームページに不正なコードが書き込まれていたことがわかった。このため、同時間帯にネット対局室にアクセスしたり、幽玄の間ホームページ、同好会ホームページ、大和証券杯ホームページを閲覧した場合、ウイルスに感染したおそれがある。これまでに顧客から、「JS_AGENT.IMK」(トレンドマイクロ名)、「Downloader」(シマンテック名)、「Win32/TrojanDownloader.AgentOIO」(NOD32での検出名)を検知したという報告があったという。
告知では、ウイルス感染によりID情報が漏えいしている可能性があるとして、ウイルス対策ソフトによる確認と駆除や、システムの復元、クリーンインストールを行ったあとに、パスワードを変更するよう呼びかけている。
・[2008/12/05 22:22:00] 11月24日接続不具合の経過報告(幽玄の間)
http://u-gen.nihonkiin.or.jp/topics/view.asp?num=11850
■ハンゲーム「ファンタテニス」、不正アクセス受けHP改ざん~ウイルス感染のおそれ
ゲームポータルサイト「ハンゲーム」(運営:NHN Japan、東京都品川区)で提供されているゲーム「ファンタテニス」(提供:ソリッドネットワークス、本社:東京都中央区)の公式サイトが改ざんされていたことがわかった。
ソリッドネットワークスとハンゲームによると、改ざんされていたのは「ファンタテニス」公式サイト内のNEWSページと、ゲーム起動ページ。両社は、8日午前2時39分頃から、改ざんに気づいてWebサイトとサービスを停止した同5時50分頃までに「ファンタテニス」Webサイトにアクセスした場合、ウイルスに感染したおそれがあるとして、ウイルス対策ソフトでの確認と駆除を呼び掛けている。ウイルスは、Microsoft OfficeとRealPlayerの脆弱性を悪用しようとするもので、これらが最新版でない場合、別のウイルスに感染したり、攻撃を受けるおそれがある。ファンタテニスのサービスは、脆弱性対策が行われて9日午後10時に再開されている。
・ファンタテニス公式サイトの改ざんに関するお知らせ(ファンタテニス)
https://www.fantatennis.jp/20081209.html
・【ファンタテニス】ウェブサイト一時停止のお知らせ(ハンゲーム)
http://customer.hangame.co.jp/helpnoticedetail.nhn?noticeId=906
■駒ヶ根市と飯島町、メール配信システムを改ざんされ配信メールに不正なリンク挿入
長野県駒ヶ根市と同県飯島町のメール配信システムが不正アクセスにより改ざんされ、市や町から送信したメールに不正なリンクが挿入されて、クリックすると別のサイトに誘導されるようになっていたことがわかった。
駒ヶ根市では、10日午前に配信した「こまちゃん防犯・防災メール」に不正なリンクが挿入され、同日午後、配信先922件に同メールの削除を呼び掛けるメールを送信した。市では、システムの安全性が確保できるまで、「こまちゃんメール」と「こまちゃん防犯・防災メール」の配信を停止するとしている。
飯島町では11日、町が配信する「いいちゃんメール」に不正なリンクが挿入されたことを発表し、受信者に対しそのようなメールが残っていた場合、削除するよう呼び掛けた。飯島町は、この件による被害は報告されていないとしている。
メール配信システムはどちらも、システム開発などを行うビットユニオン(長野県駒ケ根市)のサービスを使って運営されている。
・「こまちゃんメール」「こまちゃん防犯・防災メール」一時配信停止のお知らせ(駒ヶ根市)
http://www.city.komagane.nagano.jp/cgi-bin/set-category-form.cgi?information&form-open-koma&kgb0101&20081212100216
・メール配信サービスの不具合について(飯島町)
http://www.town.iijima.nagano.jp/cgi-bin/form-open.cgi?kgb0601&20081211142553
(2008/12/12 インターネットセキュリティニュース)
■CSL緊急注意喚起レポート~新手のSQLインジェクションを行使するボットの確認~(ラック)
http://www.lac.co.jp/info/rrics_report/csl20081002.html
■【緊急注意喚起】新手のSQLインジェクションを行使するボットの確認(ラック)
http://www.lac.co.jp/news/press20081002.html
■Weekly SOC Report(IBMインターネットセキュリティシステムズ)
・11月25日
http://www.isskk.co.jp/soc_report/SOC_report_20081125.html
・11月18日
http://www.isskk.co.jp/soc_report/SOC_report_20081118.html
・10月7日
http://www.isskk.co.jp/soc_report/SOC_report_20081007.html