Webサイトに不正コードが仕掛けられる攻撃が広範に広がる

米国のセキュリティ組織US-CERTやSANS Internet Storm Centerが発表したところによると、Webアプリケーションの脆弱性をついてサイトに不正なコードを仕掛けるSQLインジェクション攻撃が猛威をふるっており、被害に遭ったWebサイトが踏み台となって、悪意のWebサイトにユーザーが大量に誘導されているとして注意を呼びかけています。

・Webサイトに多数被害、SQLインジェクション攻撃が猛威をふるう(ITmedia)

記事によると、この攻撃はあらゆる分野のWebサイトが対象となっているとのこと。SQLインジェクションによって不正なコードが埋め込まれたサイトは、何も知らずにアクセスしていたユーザーを、新たな悪質サイトへと誘導する仕組みになっているということです。

誘導された悪意のサイトでは、WebブラウザやメディアプレーヤーなどのWebアプリケーションの脆弱性を悪用し、ユーザーのPCを乗っ取ろうとします。

　SANSで調べたところ、脆弱性のあるWebアプリケーションにSQLインジェクション攻撃を仕掛ける自動化スクリプト（ボット）が存在することが分かった。被害に遭ったサイトはほとんどすべてがIIS(編集部注:IISとは)とMicrosoft SQL(編集部注:原文は「MS SQL」)サーバを実行しているという。

記事によると、実際に検索サイトなどで、SQLインジェクションの被害に遭ってユーザーを悪意のサイトに送り込んでいると思われるサイトが多数発見されているということです。

つまり、悪意の攻撃者の思いのままに操ることのできるような、PCの集合体(＝ボットネット)がネットワーク上に組織されているということです。こうした要因には、攻撃者側にとって、不特定多数のWebサイトにSQLインジェクション攻撃が可能になるような自動化ツールなどの登場が指摘されています。

記事の中で専門家は、ユーザーやネットワーク管理者に対し、RealPlayerなどさまざまなクライアントサイドアプリケーションを最新バージョンにアップデートし、ActiveXを無効にするなどの措置を勧告しています。

PCには常に最新のセキュリティパッチ(修正プログラム)を適用するといった、基本的なセキュリティ対策を怠らないようにしましょう。