各位
SQL インジェクションによる Web サイト改ざんに関する注意喚起
Websites Compromised by SQL Injection Attacks
http://www.jpcert.or.jp/at/2008/at080005.txt
I. 概要
Web サイトに対する SQL インジェクション攻撃が行われ、ここ数日国内外の多くの Web サイトが改ざんされる被害が発生しています。ユーザが改ざんされた Web サイトを閲覧することで、ユーザのコンピュータ上にマルウェアがインストールされる危険性があります。
1) 攻撃者は、Web アプリケーションの脆弱性を使用して、データベース上の
データにスクリプトタグを埋め込みます。これによりユーザが閲覧するコ
ンテンツが改ざんされます。
2) 攻撃を受けたサイトを訪れたユーザのコンピュータ上で不正なスクリプト
が実行され、マルウェアがインストールされる可能性があります。
*** 更新: 2008年04月08日追記 ****************
JPCERT/CCでは、4月初から攻撃に使用されるドメインが変更されたことを
確認しています。また、この攻撃によって改ざんされた Web サイトを国内
外で複数確認しています。引き続き一連の攻撃が行われている可能性があ
りますので、Webサイトの閲覧には十分ご注意下さい。
**************************************************
II. 対策
JPCERT/CC では以下の対策を推奨いたします。
[エンドユーザ]
今回確認されている攻撃は、既知の脆弱性を使用しています。以下の対策
を行うことで、被害にあう可能性を減らすことが可能です。
- OS とインストールされているアプリケーションを最新の状態に保つ
- 最新の定義ファイルを適用したウイルス対策ソフトを使用する
また、本攻撃は外部サイトに設置されている Javascript を使用した攻撃
のため、Javascript の実行を無効にすることで、攻撃を軽減できる可能
性があります。
[サーバ管理者]
今回の攻撃 ( SQL インジェクション) では、管理している Web サーバか
ら動的に生成されるコンテンツに、意図しないスクリプトが挿入される可
能性があります。公開中のコンテンツや、データベースが改ざんされてい
ないことを確認してください。
特徴 : 見知らぬドメイン、または IP アドレスを参照する javascript
<script src=http://<任意のホスト>/fuckjp.js></script>
<script src=http://<任意のホスト>/fuckjp0.js></script>
*** 更新: 2008年04月08日追記 ****************
<script src=http://<任意のホスト>/fjp.js></script>
<script src=http://<任意のホスト>/1.js></script>
注) 上記以外のファイル名の Javascript が使用される可能性もあります。
**************************************************
改ざんが確認された場合、Web アプリケーション上に脆弱性がある可能性
があります。調査など適切な対応を行うことをご検討ください。
独立行政法人 情報処理推進機構
「安全なウェブサイトの作り方 改訂第3版」
http://www.ipa.go.jp/security/vuln/websecurity.html
III. 参考情報
US-CERT
Compromised Websites Redirect Users to Malicious Websites
http://www.us-cert.gov/current/archive/2008/03/13/archive.html#website_compromises_facilitating_exploitation_of
株式会社ラック
日本をターゲットとしたSQLインジェクションによるホームページ改ざん行為と、
同行為により改ざんされたページへのアクセスによるマルウェア感染について
http://www.lac.co.jp/news/press20080312.html
今回の件につきまして当方まで提供いただける情報がございましたら、ご連絡ください。
________
改訂履歴
2008-03-14 初版
2008-04-08 SQL インジェクション攻撃が引き続き行われていることを追記。
==============================
JPCERT コーディネーションセンター (JPCERT/CC)
MAIL: info@jpcert.or.jp
TEL: 03-3518-4600 FAX: 03-3518-4602
http://www.jpcert.or.jp/
JPCERT-AT-2008-0005
JPCERT/CC
2008-03-14(初版)
2008-04-08(更新)
JPCERT/CC Alert 2008-03-14
SQL インジェクションによる Web サイト改ざんに関する注意喚起
Websites Compromised by SQL Injection Attacks
http://www.jpcert.or.jp/at/2008/at080005.txt
I. 概要
Web サイトに対する SQL インジェクション攻撃が行われ、ここ数日国内外の多くの Web サイトが改ざんされる被害が発生しています。ユーザが改ざんされた Web サイトを閲覧することで、ユーザのコンピュータ上にマルウェアがインストールされる危険性があります。
1) 攻撃者は、Web アプリケーションの脆弱性を使用して、データベース上の
データにスクリプトタグを埋め込みます。これによりユーザが閲覧するコ
ンテンツが改ざんされます。
2) 攻撃を受けたサイトを訪れたユーザのコンピュータ上で不正なスクリプト
が実行され、マルウェアがインストールされる可能性があります。
*** 更新: 2008年04月08日追記 ****************
JPCERT/CCでは、4月初から攻撃に使用されるドメインが変更されたことを
確認しています。また、この攻撃によって改ざんされた Web サイトを国内
外で複数確認しています。引き続き一連の攻撃が行われている可能性があ
りますので、Webサイトの閲覧には十分ご注意下さい。
**************************************************
II. 対策
JPCERT/CC では以下の対策を推奨いたします。
[エンドユーザ]
今回確認されている攻撃は、既知の脆弱性を使用しています。以下の対策
を行うことで、被害にあう可能性を減らすことが可能です。
- OS とインストールされているアプリケーションを最新の状態に保つ
- 最新の定義ファイルを適用したウイルス対策ソフトを使用する
また、本攻撃は外部サイトに設置されている Javascript を使用した攻撃
のため、Javascript の実行を無効にすることで、攻撃を軽減できる可能
性があります。
[サーバ管理者]
今回の攻撃 ( SQL インジェクション) では、管理している Web サーバか
ら動的に生成されるコンテンツに、意図しないスクリプトが挿入される可
能性があります。公開中のコンテンツや、データベースが改ざんされてい
ないことを確認してください。
特徴 : 見知らぬドメイン、または IP アドレスを参照する javascript
<script src=http://<任意のホスト>/fuckjp.js></script>
<script src=http://<任意のホスト>/fuckjp0.js></script>
*** 更新: 2008年04月08日追記 ****************
<script src=http://<任意のホスト>/fjp.js></script>
<script src=http://<任意のホスト>/1.js></script>
注) 上記以外のファイル名の Javascript が使用される可能性もあります。
**************************************************
改ざんが確認された場合、Web アプリケーション上に脆弱性がある可能性
があります。調査など適切な対応を行うことをご検討ください。
独立行政法人 情報処理推進機構
「安全なウェブサイトの作り方 改訂第3版」
http://www.ipa.go.jp/security/vuln/websecurity.html
III. 参考情報
US-CERT
Compromised Websites Redirect Users to Malicious Websites
http://www.us-cert.gov/current/archive/2008/03/13/archive.html#website_compromises_facilitating_exploitation_of
株式会社ラック
日本をターゲットとしたSQLインジェクションによるホームページ改ざん行為と、
同行為により改ざんされたページへのアクセスによるマルウェア感染について
http://www.lac.co.jp/news/press20080312.html
今回の件につきまして当方まで提供いただける情報がございましたら、ご連絡ください。
________
改訂履歴
2008-03-14 初版
2008-04-08 SQL インジェクション攻撃が引き続き行われていることを追記。
==============================
JPCERT コーディネーションセンター (JPCERT/CC)
MAIL: info@jpcert.or.jp
TEL: 03-3518-4600 FAX: 03-3518-4602
http://www.jpcert.or.jp/
前
コメント
共 有
