「Lizamoon攻撃」

みなさん、Lizamoon攻撃という名前を聞いたことがありますか？　いやー私は恥ずかしながら知らなかったです。

被害内容

まずは大まかな被害の内容から。

• 2011/3月末〜4月頭にかけて、約22万にも及ぶサイトへの改ざん被害があった
  • ソースはwebSenceのブログ
  • その中に、Apple社のiTunesのサイトも含まれていた。（実質的な被害はここからは起きていない(はず))
• 改ざんされたサイトに行くと、lizamoon.comなどというホスト名の攻撃サイトに誘導される(これが攻撃名の由来)
• 攻撃サイトでは、MicroSoft Security Essentialsに似た偽AVソフトがDLされ、クレジットカード情報の入力が促される

と言ったところですね。Web改ざん→偽AVソフトDL→クレカ情報GETというありそうな流れっちゃありそうな流れ。けど、たった２ヶ月前にこんな大事件が起こっていたとは…。もっとセキュリティニュースに敏感にならないとなーと思っている次第です。実際に攻撃サイトに誘導されてから偽AVソフトがDLされるまでの動画があるので興味があればぜひ。

技術的背景

どんなヤバい技術が使われたかと言えば、SQLインジェクションですねー。SQLインジェクション自体は2008年に爆発的に増えたあと、「こう対策しろ」っていう意見がたくさん出ているのにも関わらず、まだまだなくなる気配を見せてない攻撃。Web開発者へのコストや構築機関の問題で、実際に対策が難しいというのがある様子。

IPAさんからSQLの使い方についての指標があるので、参考にするといいかも。

• 「安全なSQLの呼び出し方」 - IPA

今回狙われたのは、Windows SQL ServerでASPを用いて構築されたWebページらしい。（けど、iTunesのサイトもそうなのか？と今更ながらに疑問w　そう書いてあったけど、裏をとったわけではないのでわからない）　うーん、こうやってDBがどんどん普通のWebページにも入り込んでいる中、SQLインジェクションはやっぱりちゃんと対策したいところですね…。もしこれからガンガンWebページを作って行くことになったとしても、配慮したい。自分が個人情報を扱っていなくても、こうやって偽アンチウイルスソフトのDLをさせて入力させちゃあ、結局見に来た人が不幸になってしまうし…。

参考サイト

いろいろ参考にした中から、特に参考にしたものを紹介。

• 「大規模インジェクション「LizaMoon」について調べてみた」 - piyolog
  • 日本語で非常にわかりやすくまとめてあるサイト。
• 「「LizaMoon」：大規模なSQLインジェクションによるWeb改ざんを確認」- TREND Lab's SECURITY BLOG
• 「新しいタイプのWebサイト改ざんSQLインジェクション攻撃」-Tokyo SOC Report(IBM)
  • 「新しいタイプのWebサイト改ざんSQLインジェクション攻撃(続報)」- Tokyo SOC Report(IBM)
• 「【警告】「lizamoon」マルウェア感染仕組み＋SQLインジェックション攻撃が今現在も未だ行っている最中」-ZERODAY.JP