新しいSQLインジェクション攻撃が確認--データベースの特定情報を改ざん

　日本IBMは4月1日、運営する東京セキュリティオペレーションセンター（SOC）で従来と異なる方法でウェブサイトを改ざんするSQLインジェクション攻撃を確認したとブログで発表した。この攻撃は同日時点で、世界9拠点のSOCのうち海外のみで確認されており、日本のSOCでは確認されていない。

　この攻撃は、データベースにMicrosoft SQL Serverを利用して、ASPで構築されたウェブサイトを標的としており、ウェブサイトに不正にscriptタグを挿入することを目的としている。この攻撃により、すでに多数のウェブサイトが改ざんされていることを確認しているという。今回確認された攻撃は不特定多数のウェブサイトを狙ったものではなく、攻撃対象を絞って行われている。

　今回の攻撃で使用されているSQL命令は、指定したテーブル内の特定のカラムの情報を書き換えようとするもの。指定されるテーブル名やカラム名は攻撃対象ごとに異なっていた。攻撃者は対象のウェブサイトで使用されているテーブル名やカラム名を得るために、2～3月中旬頃にSQLインジェクションの脆弱性の有無や、データベース情報の調査を目的としたSQLインジェクション攻撃を行っていたことが確認されている。この“調査攻撃”は日本国内でも確認されたが、いずれも失敗に終わっている。

　改ざんされたウェブサイトにアクセスしたユーザーは、このscriptタグによって不正なウェブサイトへ自動的にアクセスさせられる。誘導先のウェブサイトには偽のウイルス対策ソフトが設置されており、偽の警告画面などを表示させた後、ウイルス駆除のためと称してユーザーに偽のウイルス対策ソフトを購入させようとする。購入処理を行ってしまった場合、入力した個人情報やクレジットカード番号が悪用される可能性がある。