セキュリティベンダー各社は、新タイプのSQLインジェクション攻撃を受けて多数のWebサイトが改ざんされていることを明らかにし、警告している。この攻撃は早々に「LizaMoon(ライザムーン)」という通称がつけられ、日本でも同様の手口で改ざんされたWebサイトが複数、確認されている。
ユーザーは、改ざんされた正規サイトを閲覧すると、埋め込まれたスクリプトにより不正サイトへ誘導され、あたかもオンラインウイルススキャンが行われているかのような画面を見せられる。スキャン結果はお決まりの「ウイルスが見つかった」というもので、この偽の警告により、偽ウイルス対策ソフトをユーザー自身にダウンロード/実行させようとする。
ユーザーが偽の警告に騙され、セキュリティ警告を無視して実行してしまうと、偽ウイルス対策ソフトがインストールされる。偽ソフトには、実在する「Microsoft Security Essentials」の偽物が使われており、購入の際には個人情報やクレジットカード番号の入力を要求される。
日本IBMの「Tokyo SOC Report」によると、攻撃対象は不特定多数ではなく、データベースにMicrosoft SQL Serverを利用する、ASPで構築されたWebサイトを標的としている。攻撃は「95.64.9.18」のIPアドレスから行われる。また、トレンドマイクロの公式ブログは、攻撃に使われる不正サイトのURL末尾が全て「/ur.php」であることを指摘している。
一般ユーザーの方は、突然始まるオンラインスキャンに騙されて、自分自身で実行しないように注意していただきたい。セキュリティの警告が出たら「キャンセル」ボタンで回避しよう。サイト管理者の方は、データベースから引いて来たデータを挿入しているページで、挿入データに「いろいろなサーバー/ur.php」に誘導するスクリプトタグが付着してないかどうかチェックしていただきたい。
(2011/04/05 ネットセキュリティニュース)
【関連URL】
・Tokyo SOC Report新しいタイプのWebサイト改ざんSQLインジェクション攻撃(Tokyo SOC Report)
https://www-950.ibm.com/blogs/tokyo-soc/entry/sqlinjection_20110401?lang=ja_jp
・日本のWebサイトも改ざん被害-「ライザムーン」攻撃詳報(Trend Micro Security Blog)
http://blog.trendmicro.co.jp/archives/4053
【関連URL:英文】
・LizaMoon Mass SQL-Injection Attack Infected at least 500k Websites, (Fri, Apr 1st)(SANS Institute)
http://isc.sans.edu/diary.html?storyid=10642
・What's the deal with the Lizamoon SQL injection?(Sophos)
http://nakedsecurity.sophos.com/2011/04/01/lizamoon-sql-injection/
・LizaMoon mass injection hits over 226,000 URLs (was 28,000) including iTunes(Websense)
http://community.websense.com/blogs/securitylabs/archive/2011/03/29/lizamoon-mass-injection-28000-urls-including-itunes.aspx