正規サイトの「弱み」でマルウェアに感染する時代：Webサイトにまつわるセキュリティ（2/2 ページ）

[國谷武史，ITmedia]

過去最高を記録する攻撃

　2008年は、まさにSQLインジェクションによる正規サイトへの攻撃が大流行した。企業のネットワーク監視サービスを提供するラックによると、2008年春ごろから国内企業を標的にしたSQLインジェクションを多数検知するようになった。この勢いは月を追うごとに激しさを増し、12月末の検知数は同社が警戒を呼び掛け始めた春ごろとは比較にならないほどになった。

SQLインジェクション攻撃の検知数の推移（ラック資料から）

　これにより、国内でも多数の正規サイトが不正改ざんの被害を受けたとみられている。改ざんされたサイトには、ダウンローダー型のマルウェアをホスティングしているサイトへのリンクが埋め込まれた。

　不正改ざんを受けた正規サイトの多くは直ちにサービスを停止して、閲覧者に対し不正アクセスによる改ざんとマルウェア感染への警戒を告知した。サイトによっては、脆弱性の修正や訪問者への対応に多大な時間を割き、サービスを復旧するまでに膨大な時間を費やすことなった。

　一方、マルウェアに感染したコンピュータでは、マルウェアがOSなどの脆弱性を突いて起動され、別のマルウェアのダウンロードを行った。また、マルウェア自体の機能を拡張するようなアップデートもしていたという。被害は個人や企業を問わず、サイトを訪れた多数のユーザーに及んだとみられる。ラックによれば、ボットプログラムが企業内に進入したケースもあった。

　同社では改ざんを受けたサイトでの処置として、直ちに動的ページの表示を停止して被害拡大を抑止することを勧めている。さらに、外部からASPファイルへのアクセスを遮断して、攻撃拡大を防ぐ。アクセスログなどから原因を究明し、被害の影響範囲や関係者への確認をアドバイスしている。

　再開に向けては、改ざん内容を排除して脆弱性を修正する。そして、バックドアやルートキットなど他の不正プログラムがないか確認し、適切な処置を実施する。被害状況により、外部への連絡などコミュニケーションを密にするというプロセスを推奨している。

---

　正規のWebサイトを標的にする攻撃は、今後も増加するとセキュリティ企業各社が警戒を強めている。攻撃による被害を受けないためには、脆弱性を可能な限り排除し、安全なプログラム実装を徹底することが何よりも重要となると呼び掛けている。

　しかしながら、すでに稼働しているシステム上で脆弱性を完全に排除する作業は容易なことではない。このため、ラックや情報処理推進機構ではWebサイトに対する不正アクセスや脆弱性を検出するツールを無償公開している。まずはこれらのツールを利用してWebサイトの弱点を把握し、可能な部分から対策や修正作業を進めていくことが大切だ。

　その上で、SQLインジェクションなど外部からの攻撃に備えたシステム環境を構築する。また、近年注目されている「WAF」（Web Application Firewall）技術などの導入によって防御体制をより強固なものとし、ユーザーから信頼されるサイト運営を実現していくことが求められている。

過去のセキュリティニュース一覧はこちら