ワームやボットもWebアプリを狙う――ラックがレポート公開

ラックがまとめたレポートによると、2005年はWebアプリケーションを狙う攻撃が増加。ワームやボットまでWebアプリケーションを狙い始めているという。

[高橋睦美，ITmedia]

　ラックは6月15日、同社のセキュリティ監視センター、JSOCで蓄積されたファイアウォールやIDS、IPSのログを元に2005年の攻撃、侵入手法を分析した「JSOC 侵入傾向分析レポート Vol.6」をWeb上で公開した。2005年は特に、Webアプリケーションを狙う攻撃が増加した1年だったという。

　同レポートによると、JSOCが検出したセキュリティイベントのうち、内部ネットワークで発生した攻撃は全体の4分の3に上った。特に4月は重要イベントが最も多く発生したという。この理由を同社は、「組織変更などで大量にPCを導入する機会にワームに大量感染したことが原因」と考察している。

　一方、インターネット（外部）からの攻撃を見ると、一般にユーザーを制限することなく公開されているWebサービスを狙った攻撃が、重要イベントのうち61％を占めた。しかもそのうち大部分がSQLインジェクション攻撃だったという。また、Webサービスに次いで多く狙われたのはデータベースで、中にはデータベースに存在する脆弱性を直接狙うボットによる攻撃も見られたという。

　ログによると、SQLインジェクションの検知件数は2005年後半になって急増した。また、攻撃元を見ると中国からの攻撃が81％を占めている。ラックでは、中国語のWebサイトでSQLインジェクション攻撃を実行する攻撃ツールが複数配布されていることが原因の1つになっていると分析している。

　もう1つ注目すべきは、Webアプリケーションの脆弱性を悪用して感染を広めるワームが登場していることだ。レポートではその例として、XML-RPCやAWStatsに存在するコマンドインジェクションの脆弱性を悪用する「Lupii」（Lupper）を挙げている。

　Webアプリケーションを狙うこの手のワームが大流行している理由は幾つかあるという。まず、主にTCP/80番ポートという公開サービスを攻撃するため、ファイアウォールによる制御は困難だ。また、たとえ公開サーバが感染してしまっても、開発者や利用者に対する影響が少ないためその事実に気づきにくいほか、Webサーバとアプリケーションの管理者が異なり、危険性が認識されていないといった要因もあるという。

　しかも、LuppiワームのようにWebアプリケーションを狙った攻撃が、ボットの攻撃手法の1つとして取り込まれている例まで確認されているという。

　ラックは、こうしたWebアプリケーションを狙ったワームは2006年も増加すると予測。さらに、情報の詐取などを狙って、SQLインジェクション攻撃を仕掛けるワームやボットが出現したり、スパイウェアが多機能化する可能性があるという。

こうした脅威に対処するには、パッチの適用とウイルス対策ソフトの更新、セキュリティポリシーの遵守とファイルの定期的なバックアップという基本的な対策を心がけることが最も有効だとしている。また、SQLインジェクションなどからWebアプリケーションを保護するためには、セキュリティ検査の実施とそれに基づく問題の改善、セキュリティ要件を盛り込んだ開発なども重要だという。