SQLインジェクション攻撃で不正コードを仕掛けられたページは数十万に上るという。
正規のWebサイトを改ざんして不正コードを仕掛けるSQLインジェクション攻撃がさらに拡大しているようだ。SANS Internet Storm Centerやセキュリティ企業のF-Secureは4月24日、被害に遭ったWebページが「数十万ページ以上に上る」と伝えている。
SANSによると、この攻撃では第三者が「1.js」というファイルを正規サイトに不正に仕込み、Windows版のAIM(AOL Instant Messenger)やRealPlayer、iTunesなどの脆弱性を突いた8種類のエクスプロイトを使って、正規サイトを訪れたユーザーのシステムにマルウェアを感染させる。
被害は商用サイトや政府・自治体のWebサイトにも広がっている。不正なjavascriptを挿入されたWebページを検索で調べると、17万3000件(英国のIT情報サイトRegisterの場合)、22万件(SANSの場合)、51万件(F-Secureの場合)などの結果が判明したという。1つのWebサイトで複数のページが感染している場合もある。
F-Secureでは、データベースのバックエンドに関する技術を使ってサービスの高速化・ダイナミック化を図るWebサイトが増える中、「管理者や運営者がそのデータベースにどのような情報が保存され、リクエストがされているかをチェックすべきだ」と指摘する。
特にブログやフォーラムなど、常時ユーザーがコンテンツをアップロードするWebサイトでは注意が必要で、「データが保存される前にチェックしなければ、Webサイトに表示される内容を制御できなくなる」(同社)と警告している。
当面の対策として、SANSなどは攻撃に使われているURLとIPアドレスの遮断を促している。
Copyright © ITmedia, Inc. All Rights Reserved.