アニメ等のキャラクターグッズを販売しているキャラアニは14日、改ざん攻撃を受けたために12日から14日までの間、サイトを一時閉鎖していたと発表した。
同社の発表によると、攻撃を受けたのは、サイト内の商品カテゴリに関するデータベースで、カテゴリ名が表示される場所だった。12日午前0時頃からサイトを停止した同日午前2時頃まで、改ざん状態にあったとみられる。この時間帯に同社サイトにアクセスしたユーザーは、ウイルスに感染したおそれがある。
改ざんといえば、いわゆるガンブラーと思いがちな昨今だが、同社によれば今回のサイト改ざんはSQLインジェクション攻撃によるものだった。
■SQLインジェクション攻撃とは
この攻撃方法は、サイトにつながっているデータベースに対する不正操作を許してしまうWebアプリケーションの脆弱性を狙ったもの。データベースへの問い合わせ文を組み立てたり実行したりする処理言語のSQLに悪意のある不正な文字列が挿入され(injection)、データが不正な内容に改ざんされたり情報を盗まれたり、キャラアニのようにサイトが改ざんされたりする。
SQLインジェクション攻撃は2008年初頭から国内サイトでも散見され始め、3月頃からは多数検出されるようになり、同年末に異常なほど攻撃が激化した。その後、激しい攻撃は終息したが、攻撃自体は決して消えておらず、地味ながら活動が続いている。
それを裏付けるように、日本IBMは先週末の18日、今月7日頃からIIS(マイクロソフトのWebサーバー)を狙ったSQLインジェクション攻撃が増加していると、同社ブログで注意を喚起している。同ブログによると、攻撃は12日から15日までに最も大きなピークを迎え、検出件数も13日には1000件を超えたという。18日時点ではすでに沈静化した模様だ。
SQLインジェクション攻撃を受けるのはWebアプリケーションに脆弱性のあるサイトだが、攻撃によって改ざんされたサイトにアクセスしたユーザーにも火の粉が降り掛かる。改ざんサイトから、ユーザーのパソコンの脆弱性を狙う攻撃コードが仕掛けられた不正なサイトに自動的に誘導されるからだ。
■「Flash Player未修整のまま」でいる危険
日本IBMのブログでは、今回の攻撃では改ざんたサイトに不正なスクリプトが埋め込まれ、閲覧したユーザーがURLに「2667.in」や「4589.in」などを含む攻撃サイトに誘導され、ドライブバイダウンロード攻撃(※)が行われるようになっているという。さらに、その攻撃で突かれるのが、修正されたばかりのFlash Playerの脆弱性だと指摘している。
当編集部では、キャラアニの改ざんサイトから誘導される攻撃サイトが「2677.in」だったことを確認している。当該時期に未修整の旧版をインストールしたままのパソコンで改ざんサイトにアクセスしていたら、ウイルスに感染している可能性が高い。
※)ドライブバイダウンロード攻撃:ブラウザやプラグインなどの脆弱性を悪用し、ページを閲覧しただけで、自動的にウイルスプログラムがインストールされてしまう攻撃手法。
■Flash Playerは最新版に、Adobe Readerは回避策を
すでに今回のSQLインジェクション攻撃は終息し、攻撃サイトも閉鎖されたとみられる。しかし、浜の真砂と同様に、この手のサイト改ざん攻撃は尽きることがない。Flash Playerはもちろんのこと、今回は悪用が確認されなかったAdobe Readerも含めて、今後も新たな脆弱性が見つかる度に攻撃に悪用されるおそれがあると、同社は警告している。
Adobe Readerは6月末に修正プログラムが出る予定なので必ずダウンロードしよう。それまでは回避策として、Adobe Readerがインストールされているフォルダ内の「authplay.dll」というファイルをリネームするか削除する方法の実行を。実施方法は、下欄の「関連記事」を参照いただきたい。
(2010/06/24 ネットセキュリティニュース)
■弊社WEBサイト改竄に関するお知らせ(キャラアニ)
http://www.chara-ani.com/pickup.aspx?p=notice&h=100614.html
■IISを狙ったSQLインジェクション攻撃の増加とFlashの脆弱性の悪用(日本IBM)
https://www-950.ibm.com/blogs/tokyo-soc/entry/sqlinjection_flash_20100618?lang=ja_jp
【関連記事:ネットセキュリティニュース】
・脆弱性対策を~Windows XPとServer 2003用Fix It公開/Adobe Readerも必ず(2010/06/15)