SCAN DISPATCH : CAのサイトも被害に、SQL Injectionロボット攻撃 | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2018.02.24(土)

SCAN DISPATCH : CAのサイトも被害に、SQL Injectionロボット攻撃

国際 海外情報

SCAN DISPATCH は、アメリカのセキュリティ業界及ハッカーコミュニティから届いたニュースを、狭く絞り込み、深く掘り下げて掲載します。

──
この攻撃が最初に発見されたのは去年の12月28日だが、被害は瞬く間に広まった。

このロボットは、ウエブサイトを訪れたユーザーがユーザー名や住所などを入力するフォームにSQL statementを注入する。MS SQL databaseを使っていて、SQL Injectionの対策を万全に行っていないサイトが、推定で100万近く被害にあったと報道されている。

この攻撃にあったサイトは、データベース上の全てのvarcharとtext fieldにを挿入されてしまう。そしてサイトを訪れたユーザーをiFrameでuc8010.comとucmal.comにリダイレクトし、ユーザーのマシンにオンライン・ゲームのパスワードを盗むキーロガーをインストールする。whoisによればuc8010.comは12月28日、 ucmal.comは12月21日に中国から登録されており、攻撃自体が中国から行われているという推測が強い。Sans InstituteのMark Hofmanは、「ロボットは去年の11月にあったSQL Injection攻撃ロボットに非常に似ているが11月のものに比べて徘徊力と攻撃力が向上した」ために、今回はこれだけの数のサイトが被害にあったとブログで述べている(注1)。

注1
http://isc.sans.org/diary.html?storyid=3823

キーロガーをユーザーのPCにインストールする方法は、2006年の4月に発表された MS06-014という脆弱性、2007年の10月に発見されたRealPlayerの脆弱性、そしてQVOD Playerという中国製のメディア・プレーヤーの脆弱性を悪用しているという報告がある。

さて、このロボットのサーバー側への攻撃を、Breach Security社のRyan Barnettが以下の通り解読している…

【執筆:米国 笠原利香】
──
※ この記事は Scan購読会員向け記事をダイジェスト掲載しました
購読会員登録案内 http://www.ns-research.jp/cgi-bin/ct/p.cgi?w02_ssw
《ScanNetSecurity》

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

カテゴリ別新着記事

★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★
<b>★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★</b>

経営課題としてサイバーセキュリティに取り組む情報システム部門や、研究・開発・経営企画に携わる方へ向けた、創刊19年のセキュリティ情報サービス Scan PREMIUM を、貴社の事業リスク低減のためにご活用ください。

×