Webページの改ざんが多発 対策はどう講じる？：Weekly Access Top10

SQLインジェクションを始めとするWebページの改ざんが多発している。Webページにアクセスするユーザーおよび管理者は、意識的な対策を講じる必要がある。

[藤村能光，ITmedia]

Weekly Access Top10

2008年03月08日〜2008年03月14日

1. 殺人予告スパムが身代金を大幅値下げ
2. 象が踏んだら壊れちゃう――わたしとLANケーブル
3. NTTドコモ、iモードメールをPCで利用する「iモード.net」を開始
4. 床下ケーブルがダメなら天井を使えばいいじゃない
5. ギョーザ事件はシステマチックに防げるのか？
6. Macウイルス監視サイトがMacマルウェア配信に加担？
7. ケーブルを笑う者はケーブルに泣く
8. 展示会場の無線LAN利用にワナ
9. 殺人脅迫もスパムの時代に？　金や個人情報を要求
10. Pマークは無意味？　取得企業の6割が情報漏えい

　今週の1位は、殺人予告スパムが発生したものの、以前と比べて身代金の要求額が下がっていたという内容の記事だった。世界経済混乱の影響を受けたのか、前回の身代金が高すぎたと反省したのか、スパム送信者も苦心したのではないか。

　悪意のある攻撃者は世界中に存在する。現在、Webサービスのデータベースを不正操作する「SQLインジェクション」攻撃が世界中で猛威を奮っている。

　セキュリティサービスのラックは3月12日、日本のWebサイトを狙ったSQLインジェクション攻撃が、3月11日夜から通常時の70〜100倍で起こっていると発表した。

　同日、トレンドマイクロのWebサイトが改ざんされ、アクセスしたPCがウイルスに感染する恐れがあることが明らかになった。「現時点で攻撃はSQLインジェクションが濃厚」（同社広報）という。

　「SQLインジェクションの多発を確認しているが、攻撃者は特定できず、次の攻撃は読めない」とJPCERT/CC。3月14日には攻撃に対して注意を呼びかけた。

　米国でも2万ものWebページが被害を受けているという。「SQLインジェクションが世界中で急増しているという報道があるが、可能性は高いというだけで断定はしていない」（McAfee Avert Labsの研究員）が、「攻撃のパターンが似ているなど、同じ攻撃者である可能性は高い」という。

対策にはこまめな確認を

　既知の脆弱性を突いてくるSQLインジェクションだが、「Webサイトは手作りのため、脆弱点を修正しにくい」（McAfee Avert Labsの研究員）など、対策を講じにくい。

　JPCERT/CCは、WebページのJavaScriptの実行を無効にすることで攻撃を軽減できるとしているが、「JavaScriptを無効にするとWebページが見えなくなったり使えなくなったりする可能性もある」という。管理者にはIPAが公開した「安全なWebサイトの作り方」に掲載しているSQLインジェクションへの対策を参考にしてほしいと呼びかけている。

　Webサイトへの攻撃が多発しているが、原因は特定できていない。ユーザーは、Webサイトをこまめに確認し、最新のウイルス対策ソフトウェアのアップデートをするといった基本的な対策を意識的に実行する必要がある。