大規模SQLインジェクション攻撃「LizaMoon攻撃」
どうもこんにちは。今日はちょっと授業のためにセキュリティ問題を調べたので、そのまとめがてら。
「Lizamoon攻撃」
みなさん、Lizamoon攻撃という名前を聞いたことがありますか? いやー私は恥ずかしながら知らなかったです。
被害内容
まずは大まかな被害の内容から。
- 2011/3月末〜4月頭にかけて、約22万にも及ぶサイトへの改ざん被害があった
- ソースはwebSenceのブログ
- その中に、Apple社のiTunesのサイトも含まれていた。(実質的な被害はここからは起きていない(はず))
- 改ざんされたサイトに行くと、lizamoon.comなどというホスト名の攻撃サイトに誘導される(これが攻撃名の由来)
- 攻撃サイトでは、MicroSoft Security Essentialsに似た偽AVソフトがDLされ、クレジットカード情報の入力が促される
と言ったところですね。Web改ざん→偽AVソフトDL→クレカ情報GETというありそうな流れっちゃありそうな流れ。けど、たった2ヶ月前にこんな大事件が起こっていたとは…。もっとセキュリティニュースに敏感にならないとなーと思っている次第です。実際に攻撃サイトに誘導されてから偽AVソフトがDLされるまでの動画があるので興味があればぜひ。
技術的背景
どんなヤバい技術が使われたかと言えば、SQLインジェクションですねー。SQLインジェクション自体は2008年に爆発的に増えたあと、「こう対策しろ」っていう意見がたくさん出ているのにも関わらず、まだまだなくなる気配を見せてない攻撃。Web開発者へのコストや構築機関の問題で、実際に対策が難しいというのがある様子。
IPAさんからSQLの使い方についての指標があるので、参考にするといいかも。
今回狙われたのは、Windows SQL ServerでASPを用いて構築されたWebページらしい。(けど、iTunesのサイトもそうなのか?と今更ながらに疑問w そう書いてあったけど、裏をとったわけではないのでわからない) うーん、こうやってDBがどんどん普通のWebページにも入り込んでいる中、SQLインジェクションはやっぱりちゃんと対策したいところですね…。もしこれからガンガンWebページを作って行くことになったとしても、配慮したい。自分が個人情報を扱っていなくても、こうやって偽アンチウイルスソフトのDLをさせて入力させちゃあ、結局見に来た人が不幸になってしまうし…。
参考サイト
いろいろ参考にした中から、特に参考にしたものを紹介。