最新のSQLインジェクション攻撃「LizaMoon」

2011/04/19

現在、SQLインジェクションによるWebサイトを改ざんするLizaMoon攻撃が世界中に広がっています。

LizaMoonの名前の由来
LizaMoon攻撃は、乗っ取られたページに挿入されたスクリプトコードで参照されていたドメインにちなんで名付けられました。

例:script src=http://lizamoon[dot] com /ur[dot] php

LizaMoon攻撃に関係しているドメインは、lizamoon.comだけではありません。この事象の追跡を開始して以来、多くのドメインが追加されており、現在40件前後のドメインが確認されています。悪質なドメインへのトラフィックをブロックしようとしているのであれば、まずはこれらの関連ドメインをブロックするのが良いでしょう。乗っ取られたドメイン(攻撃の被害にあった正常なサイト)を含む、関連するすべてのドメインをブロックするというような提言がありますが、この方法は少々やり過ぎだと思われます。被害に遭ったサイト数は最大150万件といわれていますが、脅威を防ぐためにこれらすべてのサイトへのトラフィックをブロックする必要はありません。

安心感を得るには
挿入されたスクリプトにより、クライアントは、不正な、または偽のセキュリティソフトをホストしているサイトにリダイレクトされます。この種類のマルウェアは、マカフィーが取り扱っている中でも最も広まっている静的なマルウェアのひとつです。

この攻撃に関係しているあるパッケージは、以下の通り、検出されます。

名前:FakeAlert-PJ.gen.c ウイルス定義(DAT)ファイル:6304 リリース日:2011年4月2日 情報:http://www.mcafee.com/japan/security/virF.asp?v=FakeAlert-PJ.gen.c

この攻撃に関係しているlizamoon.comなどといったホストは、マカフィーのWebレピュテーションサービス(http://mcaf.ee/92e06)で「悪質」に分類されています。さまざまな層に配備されている複数のマカフィー製品が、この情報を活用して、トラフィックをブロックし、悪質なトラフィックを排除しています

SQLインジェクション攻撃のネットワーク側は、McAfee Network Security Platformで検出されます。この攻撃を検出するシグネチャは1年ほど前に作成されています(リリース4.1.74、5.1.44、6.1.11に組み込まれたシグネチャ:HTTP: SQL Injection – evasion III)。

まとめ
これが最新のSQLインジェクション攻撃です。自社の機密情報を守るためには、ユーザー入力の制限、ユーザー入力の認証、入力のタイプの制限、機密データの暗号化、最小権限の原則によるアカウントの作成など、シンプルで基本的な方法が非常に効果的です。

関連情報

※本ページの内容はMcAfee Blogの抄訳です。
原文:LizaMoon the Latest SQL-Injection Attack