Webサイトの改ざん攻撃が拡大、世界で数十万ページが被害

SQLインジェクション攻撃で不正コードを仕掛けられたページは数十万に上るという。

[ITmedia]

　正規のWebサイトを改ざんして不正コードを仕掛けるSQLインジェクション攻撃がさらに拡大しているようだ。SANS Internet Storm Centerやセキュリティ企業のF-Secureは4月24日、被害に遭ったWebページが「数十万ページ以上に上る」と伝えている。

　SANSによると、この攻撃では第三者が「1.js」というファイルを正規サイトに不正に仕込み、Windows版のAIM（AOL Instant Messenger）やRealPlayer、iTunesなどの脆弱性を突いた8種類のエクスプロイトを使って、正規サイトを訪れたユーザーのシステムにマルウェアを感染させる。

　被害は商用サイトや政府・自治体のWebサイトにも広がっている。不正なjavascriptを挿入されたWebページを検索で調べると、17万3000件（英国のIT情報サイトRegisterの場合）、22万件（SANSの場合）、51万件（F-Secureの場合）などの結果が判明したという。1つのWebサイトで複数のページが感染している場合もある。

Googleの検索状況（F-Secureより）

　F-Secureでは、データベースのバックエンドに関する技術を使ってサービスの高速化・ダイナミック化を図るWebサイトが増える中、「管理者や運営者がそのデータベースにどのような情報が保存され、リクエストがされているかをチェックすべきだ」と指摘する。

　特にブログやフォーラムなど、常時ユーザーがコンテンツをアップロードするWebサイトでは注意が必要で、「データが保存される前にチェックしなければ、Webサイトに表示される内容を制御できなくなる」（同社）と警告している。

　当面の対策として、SANSなどは攻撃に使われているURLとIPアドレスの遮断を促している。