SQLインジェクション攻撃「ライザムーン」への対応～G Data

G Data Software株式会社（本社：東京都千代田区、日本支社長：Jag 山本）は、3月29日から4月4日にかけて拡散し、数十万単位のURLが感染した「ライザムーン」という名称のSQLインジェクション攻撃について、偽ウイルススキャンを表示させ最終的にはクレジットカード情報を窃取しようとして仕掛けられたものであり、一般ユーザーには突然画面にスキャンが出ても冷静にキャンセルすることを、また、CMSなどのアップデートを推奨します。

インターネットには、決して平穏な日はありません。日々、新たなマルウェアや攻撃が登場しています。先週も、私たちは、奇妙な攻撃を目撃しました。SQLインジェクションで、ライザムーンという名称です。3月29日から4月4日にかけて拡散し、数十万単位のURLが感染したと、いくつかのセキュリティベンダーから発表されました。その後、今週に入っても数千以上のサイトは、感染されたままの状態で放置されています。はたして、一体何が起こっているのでしょうか。

事態
まず、SQLインジェクション攻撃とは、サイト管理者がデータベースとのやりとりに用いる言語であるSQLの脆弱性を使って不正コードを埋め込む攻撃のことです。直接的には、一般のパソコンユーザーにはかかわりありませんが、攻撃を受けたサイトをユーザーが閲覧した場合、埋め込まれた不正コードによって悪意あるサイトに飛ばされ、マルウェアに感染したり、偽ウイルス対策ソフトの攻撃を仕掛けられる、といった被害を受けるおそれがあります。

今回の攻撃では、以下のコードが、数多くのサイトに埋め込まれました。

（ウイルススキャンにて検知されてしまう可能性があるので、添付画像にしてあります）

（他にも多くの埋め込まれた文字列があります。最初に公表したWebsense社のブログを参照ください。リンク）

今でもまだ、感染したウェブサイトを見つけることができますが、その検索文字列のあるサイトのすべてが感染している、というわけではありません。攻撃に使用されたlizamoon.comドメインはもちろん、他の多くのドメインにおいても感染したサイトがありますが、そのドメインすべてに拡散しているわけではありません。

目的は金目当て
不正コードを埋め込まれたサイトを訪れてしまったユーザーは、オンラインでウイルススキャンをしているかのようなサイトへと飛ばされます。リダイレクト先はドットシーシー（.cc ）やドットイン（.in）が主です。これらのサイトはスキャン「動画」の表示のあと、次に、偽のアラートを表示させます。慌てたユーザーは、ここで勧められる偽ウイルス対策ソフトをダウンロードしてしまいます。

このプログラムは、何らユーザーのパソコンのウイルス検知や駆除には役に立たず、ただ、偽のセキュリティアラートやアドバイスを表示させるだけです。結局ユーザーは、有料でライセンスを購入しないと、問題が解決しないと思わされるはめになります。このマルウェアを仕掛けた側の目的は、ここです。つまり、ユーザーの心をパニック状態に追いこんで、オンライン上にクレジットカード情報を入力させ、そのデータを奪い取ることなのです。

偽ウイルス対策ソフトがどのような挙動をするのかについては、参考例として、G Dataセキュリティラボが作成した「WinHDD」における動画がありますので参考にしてください。

　動画のリンク先１：　リンク
　動画のリンク先２：　リンク

攻撃はなぜ成功したのか
おそらく原因は、旧バージョンのコンテンツ管理システム（CMS）とブログシステムにあります。マイクロソフトのSQLサーバーをベースにしたウェブページがこの攻撃の標的でしたが、SQLサーバー2003やSQLサーバー2005など、新しいバージョンにおいては、ライザムーンの攻撃がありませんでした。これまでもSQLインジェクションは、よく用いられる攻撃手法であり、特にウェブアプリケーションを狙ったものです。誤入力等に対して適切にフィルターがかけられないか、またはSQLインジェクション攻撃が一つでもフィルタリングを回避できてしまうと、多くの場合、ウェブサイトの中身を操作できるようになってしまいます。

攻撃は成功だったのか
しかしながら私たちは、ライザムーンの攻撃が遍く成功したとは考えません。影響を受けた数はかなり少ないでしょう。1日に2,000件のインシデントがあるとすると、ライザムーンのドメインに関連しているのはわずか1件程度です。さらに観察していた期間においては、さらに低い割合の日さえありました。

また、セキュリティソフトベンダーによる迅速な対応があったこともあり、この攻撃が有効であったとは、言えないと考えます。

感染した場合であっても、配布されたドメインを一度シャットダウンし、感染サイトをきれいにし、コンテンツ管理システムやウェブサーバーに関連する他のソフトウェアをアップグレード（アップデート）することによって、被害の数はかなり抑制されます。

ユーザーのためのアドバイス
もしライザムーンをはじめ、スキャンを行っているように見せかけるマルウェアに遭遇した場合、あわてずに、「実行」や「購入」をクリックせずに、「キャンセル」を選択してください。

なおG Dataセキュリティラボは、このライザムーンの攻撃については絶えず監視を続けていました。G Data製品を利用している方は、製品に内蔵するウイルススキャナー（ウイルス対策エンジン）とHTTPスキャン（ウェブ保護技術）によって完全に守られていました。

さらにウェブからの攻撃について詳しく知りたい方は、G Dataセキュリティラボの所長であるラルフ・ベンツミュラーによるホワイトペーパー「ウェブからの攻撃」をお読みください。

ホワイトペーパー：　「ネット攻撃の現状」（ラルフ・ベンツミュラー）
リンク

ウェブマスターのためのアドバイス
多くの場合、非常に簡単で基本的なステップとして以下の事柄によって、ウェブサイトに対するこの攻撃を防ぐことができます。

* アップデートされたCMSシステムの使用。また、新たなバージョンがリリースされれば、ただちにアップデート。
* ウェブサーバー上にあるすべてのソフトウェアとOSの恒常的アップデート。
* ユーザー入力の徹底的な制限と認証の実行。
* 極秘データの暗号化。
* ユーザーカウントとデータベース利用者の特権の制限。
* ウェブアプリケーションファイアウォールの使用。




ジーデータソフトウェアとは
G Data Softwareは、1985年に創業し、1987年に世界最初の個人向けウイルス対策ソフトを発売した、ドイツのセキュリティソフトウェア会社です。 EUを中心に、個人向け・法人向け製品を展開しています。日本法人は2007年に設立しました。最大の特徴は、ダブルエンジンによる世界最高位のウイルス検出率です。また、新種や未知ウイルスへの防御、フィッシング対策、迷惑メールへの外国語フィルターなど、インターネットやメール環境を安全・快適にする機能を豊富に搭載しています。その結果G Dataのセキュリティ製品群は、マルウェアやフィッシング詐欺サイトを常に高検出することに定評があり、過去5年間にわたって、第三者機関・雑誌における受賞獲得数は他社の追随を許しません。

＊本リリースに記載されている各種名称、会社名、商品名などは各社の商標または登録商標です。

【本リリースに関する問合せ先】　
G Data Software株式会社　
101-0042 東京都千代田区神田東松下町48　ヤマダビル6F
窓口：　瀧本往人　
E-mail: gdata_japan_info@gdatasoftware.com　
URL：　リンク