この1ヶ月くらい、Webサイトへの攻撃・不正アクセス、主にSQLインジェクションの被害ニュースがすごい。 それに乗じたセキュリティベンダーが先を争って警告を叫ぶ様もすごいけど。 大流行の様相になってきた。
関連記事(ベンダーの報告と、被害のニュース)のまとめ。
まずはベンダーの報告や警告。
Cisco の「衝撃的」な年次セキュリティ報告 – japan.internet.com Webテクノロジー
ネットワーク大手の Cisco Systems は15日、同社の年次セキュリティ レポートを発表した。今年の主な傾向としては、脆弱性の数が増加し、複数の方法を組み合わせた攻撃、仮想化技術への攻撃がますます一般化しているという。
レポートによると、2008年10月末までに見つかった脆弱性は5971件以上にのぼり、2007年の5353件に比べて1年で11.5%増加した。また、正当なドメインからの攻撃件数は前年比で90%増加している。
Cisco のフェローで首席セキュリティ研究員の Patrick Peterson 氏は取材に対し、「Web の脅威の深刻さ、特に正当な Web サイトへの攻撃については当社でも認識しているが、2008年はその激しさと数の多さは非常に衝撃的だ。当社が描いた最悪のシナリオを軽く上回っている」と語った。
報告されている脆弱性の件数は、攻撃の件数とは一致しないと Peterson 氏は話す。2008年の Web サイトへの攻撃は、主に SQL インジェクションによるものだった。大手週刊誌サイト BusinessWeek.com も、2008年に SQL インジェクション攻撃を受けた。
SQLインジェクション攻撃が再び爆発増、ラックが緊急注意喚起
ラックは22日、「改ざんされたWebサイト閲覧による組織内へのボット潜入被害について」と題した緊急注意喚起を発した。SQLインジェクションによるWebサイトの改ざんが、12月15日から再び爆発的な増加を示しているという。また、改ざんされた日本のサイトを多数確認しており、12月19日以降、それを閲覧したことが原因と見られるボットが組織内に潜入する被害も急増しているという。同社が12月に検知したSQLインジェクション攻撃は、20日までにすでに181万9311件に達し、過去最高を記録した。
改ざんによって誘導されるサイトをリストアップしており、Webサイトの管理者に対しては、それらのサイトへの誘導スクリプトやiframeタグが埋め込まれていないか確認する方法を紹介するとともに、改ざんされていた場合の対応手順を説明している。
■URL
ニュースリリース
http://www.lac.co.jp/news/press20081222.html
( 永沢 茂 )
2008/12/22 20:56
【緊急レポート】日本国内でも始まっていたIEのゼロデイ攻撃
Internet Explorer(IE)の脆弱性を修正する「MS08-078」が18日未明、マイクロソフトからリリースされた。10月の「MS08-067」に続く今年2度目の定例外の緊急パッチだ。これら脆弱性はいずれも未修正のまま攻撃が始まってしまい、「MS08-078」はサイトを閲覧するだけで、「MS08-067」はネットワークに接続しているだけで不正なコードが実行されるという深刻な状態にあった。
今回修正されたIEの脆弱性は、データベースなどから抽出した生データをページ内に動的に挿入するデータバインド機能に関する問題で、SPANタグの処理で不正なポインタを参照させ、挿入用のデータを実行させるという攻撃が展開されていた。日本IBMの東京のセキュリティー・オペレーション・センター(SOC)では、12月8日以降継続して、この脆弱性を狙った攻撃が検知されているという。
攻撃者は外部からデータベースを不正に操作するSQLインジェクションという手法を使い、既存のWebサイトを改ざん。閲覧者に攻撃サイト上に用意したスクリプトを実行させ、脆弱性攻撃を仕掛けようとする。SQLインジェクションによる改ざんは、今年に入って国内でも多数のWebサイトが被害にあっているが、その誘導先にWindows XP/Windows Server 2003上のIE7を狙うゼロデイ攻撃コードが実装されたのだ。
いずれも、緊急パッチが提供される直前の出来事。国内のユーザーもゼロデイ攻撃の脅威にさらされていたのだ。
■URL
Weekly SOC Report(IBM Internet Security Systems)
http://www.isskk.co.jp/SOC_report.html
仕掛けられていたIE7用攻撃コードの12/16時点のスキャン結果(VirusTotal)
http://www.virustotal.com/jp/analisis/8d4852833410545556dd4a96ae001623
( 鈴木直美 )
2008/12/22 11:48
以下、被害のニュース。
枚挙に暇がないとはこのことだ。
JA全農のサイトが不正アクセスで改ざん – 閲覧者にウイルス感染のおそれ:Security NEXT
全国農業協同組合連合会(JA全農)のウェブサイトが不正アクセスを受け、ウイルスに感染するページへ誘導するスクリプトが埋め込まれていたことがわかった。
JA全農によれば、ウェブサイト内にあるJA関連団体へリンク集ページが、ウイルスがダウンロードされるウェブサイトへ誘導するよう改ざんされていたという。9月30日から10月25日まで断続的に不正アクセスを受けており、11月14日に改ざんが発覚した。
9月30日から改ざんが判明した11月14日までに問題のページへアクセスしていた場合、「JS_AGENT.IMK」や「JS_AGENT.NND」「JS_SCRIPT.CH」などウイルスに感染するおそれがある。個人情報の漏洩は現時点で確認されていないという。
「JS_AGENT.NND」「JS_SCRIPT.CH」は、最新のウイルスのため、感染による影響はわかっていないという。「JS_AGENT.IMK」については、トレンドマイクロによると「Adobe Flash Player」のインストール状態を確認し、バージョンによってswfファイルをダウンロードする。
JA全農では、ウェブサイトの公開を中止し、専門家による調査を行っている。また心当たりがある利用者へウイルスの感染の有無を確認し、必要に応じて駆除を行ってほしいと呼びかけている。
全国農業協同組合連合会
http://www.zennoh.or.jp/
(Security NEXT – 2008/11/17更新)
JR北海道 2008/12/01
相次ぐHP改ざん:JR北海道、不正アクセスを受けホームページの運用を一時停止 – ITmedia エンタープライズ
続報:JR北海道、不正アクセスを受けたホームページの一部を再開 – ITmedia エンタープライズ
不正プログラム「JS_AGENT.IMK」が埋め込まれており、閲覧者はウイルスに感染する恐れがあった。
→12/23現在まだほとんどが停止中。
JR北海道のWebサイト改ざんで調査結果、ウイルス感染の恐れ
JR北海道は5日、同社のWebサイトが不正アクセスを受けて改ざんされた件について、調査結果を発表した。
不正アクセスがあったのは11月12日で、「イベントチケット情報」「列車運行情報」「特急列車空席案内」の3つのページが改ざんされた。その後、11月27日19時30分までの間にこれらのページを閲覧した場合、他のサイトに誘導され、ウイルス「JS_AGENT.IMK」に感染した恐れがあったとしている。JR北海道のWebサイトでは現在、トレンドマイクロのウイルス対策製品を挙げ、ウイルス感染の確認方法と駆除方法を紹介している。ただし、携帯電話は影響ないとしている。
JR北海道は11月27日、「イベント・チケット情報」のページが改ざんされ、このページにアクセスすると中国語のサイトに誘導されるようになっていることを発見。翌28日に同社Webサイトの全サービスを閉鎖し、ウイルス感染の可能性などについて調査を進めていた。なお、今回の不正アクセスによる個人情報流出の事実は確認されなかったとしている。
( 永沢 茂 )
2008/12/09 14:48
しかし、詳細情報が報道されないなあ。 このくらいの企業になると、情報統制力も立派。
長野日報 (Nagano Nippo Web) – ニュース – 防犯防災メールに不正リンク サーバー攻撃が原因更新:2008-12-11 6:00
駒ケ根市が10日午前9時40分ごろに配信した「こまちゃん防犯防災メール」に、不正なウェブサイトへのリンクが挿入されていた。リンク先のサイトは現在消えているため、これまでのところ実害の報告は入っていないという。市の調査によると、メール配信のためのサーバーが何者かに攻撃されたことが原因。この配信サービスには922件(10日現在)の登録があり、市では念のため問題のメールを削除するよう呼び掛けている。
問題のメールは、悪質商法について注意を呼び掛ける内容で、本文の初めと終わりに不正なサイトへのURLが書き込まれていた。市職員が気が付き、メールを削除するよう呼び掛けるメールを同日午後3時50分ごろ配信した。
リンク先のサイトは、携帯電話からはアクセスできず、パソコンからアクセスしても消えている。市秘書広報課は「メールの受信者に不正なサイトにアクセスさせることで、何を狙っていたのかはわからない」という。
市側が原因を調べたところ、メールの送信用サーバーが「SQLインジェクション」と呼ばれる手口で攻撃を受け、メールの本文に書き込みをされていた。
セミナー情報ページが改ざん、閲覧でウイルス感染の可能性 – 情報処理サービス会社:Security NEXT
山崎情報産業のウェブサイトが不正アクセスを受け、一部ページが改ざんされたことがわかった。閲覧者にウイルス感染のおそれがあるという。
13日午後に不正アクセスを受け、サイト内のセミナー情報ページが改ざんされたもので、11月14日に発覚し、同社では同ページの提供を停止した。改ざんされたページを閲覧した場合、ウイルスに感染させる悪質なサイトへ誘導されるおそれがあった。
同社では今回の事件を受け、心当たりがあるユーザーに対し、ウイルス感染の有無をチェックするよう呼びかけている。同ページの再開予定は12月初旬とアナウンスしているが、12日時点ではまだ再開されていない。
山崎情報産業 http://www.yamajo.co.jp/
(Security NEXT – 2008/12/12更新)
不正アクセスで認可保育所の情報改ざんされる – MSN産経ニュース2008.12.16 18:26
神奈川県は16日、「かながわ福祉サービス振興会」がホームページで公開している県内の福祉サービス情報に何者かが不正アクセスし、このうち認可保育所898件分の情報が改竄(かいざん)されていたと発表した。
県によると、同ホームページの「子育て支援情報サービスかながわ」(現在は公開中止)で公開していた認可保育所の一覧などで、無関係な同じアドレス情報が追加されたり置き換えられたりしていた。被害の報告はないという。
同一サーバーを用いていた「障害福祉情報サービスかながわ」「介護情報サービスかながわ」についても公開を中止した。県は原因を究明してセキュリティーの強化を図り、1週間程度での復旧を目指している。
不正アクセス:県産品HP被害、サイト閉鎖 /高知 – 毎日jp(毎日新聞)
県は16日、ユズやカツオなど県内の特産品を紹介するホームページ(HP)「こうち県産品総合サイト」が不正アクセスを受け、閲覧できなくなったと発表した。情報の流出などの被害はないが、サイトを閉鎖し、復旧と安全確認までに1カ月以上かかる見通し。
県県産品ブランド課によると、15日午後2時45分ごろ、サイトの管理を委託している業者から接続できないと連絡があった。
調べたところ、同日午前11時過ぎにプログラムを改変された形跡があり、閲覧しようとすると、別のHPに自動的に飛ぶように設定されていた。県はサイトへの接続を遮断し、16日には県警に通報した。
サイトは03年10月に開設され、掲載されていた登録商品は1745点。年間延べ約7万人が閲覧するという。【服部陽】
毎日新聞 2008年12月17日 地方版
日本体協のHP一部改ざんで公開中止 – スポーツニュース : nikkansports.com
日本体育協会は18日、公式ホームページの一部改ざんがあったため、17日から公開を中止していると発表した。原因を調査中で、段階的な復旧を目指している。
職員が17日に、「関連ファイル」など本来はなかった項目が加えられ、写真が見られない障害が発生していることを発見した。日本体協は2006年にもホームページ改ざんの被害に遭っている。
[2008年12月18日19時25分]
都サイトの改ざん、詳細が判明 – 3種類のマルウェアに感染のおそれ:Security NEXT
東京都は、運営するウェブサイト「東京都障害者サービス情報」が不正アクセスを受けた問題で、感染のおそれがあるウイルスなど詳細を明らかにした。
都が外部業者へ委託し、運営している同サイトが、12月17日夕方から12月18日午前中にかけて不正アクセスを受けて改ざんされたもの。都では19日に被害を公表し、被害の詳細について調査を進めていた。
都によれば、今回改ざんされたページへアクセスした場合、不正サイトへ誘導され、「TSPY_ONLING.HI」「TROJ_AGENT.AGTU」「WORM_DOWNAD.A」など3種類のマルウェアへ感染するおそれがあったという。
都では、心当たりがあるユーザーに対し、ウイルス感染の確認や駆除を実施するよう注意を呼びかけている。同サイトの提供は現在も中止しており、都では安全確認ができ次第、再開したいとしている。
東京都
http://www.metro.tokyo.jp/
(Security NEXT – 2008/12/22更新)
福井新聞 – 福井のニュース12月23日午前8時00分
福井県の坂井地区介護保険広域連合のホームページ(HP)サーバーに不正アクセスがあり、プログラムが改ざんされていたことが22日までに分かった。不正アクセス開始時から、HP公開停止までの間にサイトを閲覧した人のパソコンが、ウイルスに感染している恐れがある