PC Online パソコン&モバイル、インターネット情報とソフトウエア活用サイト

本文へジャンプ

特設サイト一覧
ホーム > ニュース

ニュース

2008年4月25日

SQLインジェクションが止まらない、50万ページ以上が改ざん

アクセスするだけでウイルス被害、「もはや『安全なサイト』は存在しない」

勝村 幸博=日経パソコン

印刷ページ
  • このエントリーをはてなブックマークに追加
  • Clip to Evernote
  • mixiチェック
「あとで読む」機能の使い方
(執筆時の情報に基づいており、現在では異なる場合があります)
埋め込まれる文字列で検索した結果(フィンランドのエフ・セキュアの情報から引用。編集部で一部をぼかした)
画像のクリックで拡大表示

 セキュリティ企業や組織は2008年4月24日、Webサイトを改ざんする大規模な攻撃が確認されているとして注意を呼びかけた。改ざんされたWebページには、ウイルス(悪質なプログラム)を感染させる「わな」が仕込まれるため、アクセスしただけで被害に遭う恐れがある。

 今回、米サンズ・インスティチュートやフィンランドのエフ・セキュアなどが警告している攻撃は、英ウェブセンスが4月22日に報告したものと同じ攻撃。「SQLインジェクション」と呼ばれる手法を使って、脆弱(ぜいじゃく)性のあるWebサイトに不正侵入し、Webページを改ざん。自分たちが用意した悪質なファイルをダウンロードさせる文字列(スクリプトタグ)を仕込む。

 悪質なファイルには、WindowsやAIM(AOL Instant Messenger)、RealPlayer、iTunesなどの脆弱性計8種類を突いてウイルスを感染させるプログラムが含まれている。これらの脆弱性が修正されていないコンピューターでは、改ざんされたWebページにアクセスするだけでウイルスに感染してしまう。サンズの情報によれば、ウイルスの中には、ユーザーが入力したパスワードなどを盗むものがあるという。

 エフ・セキュアでは、ページの改ざん時に挿入される文字列を使ってGoogleで検索。その結果、およそ51万件(ページ)が表示されたという(図)。

 改ざんされたサイトの種類はさまざま。自治体や企業のサイトだけでなく、政府機関のサイトも改ざんされているという。このため、「信頼できないサイトにはアクセスしない」といったお決まりの対策では被害を防げなくなっている。

 サンズでは、今回のような改ざん攻撃により、「『信頼できるサイト(trusted site)』あるいは『安全なサイト(safe site)』かどうかといった考え方は、意味がないものになっている」とコメントしている。


関連記事

キーワード

ショッピング

最新ランキング

PC Online会員登録

最新刊のご案内

最新の誌面から

  • 日経パソコン 2012年2月13日号

    日経パソコン 2012年2月13日号

    パソコンを仕事と生活に活かす総合情報誌
    ・Vista/XPから脱出せよ
    ・「2012年型パソコン」を読み解く
    ・ビジネスプリンター購入ガイドほか

  • 日経PCビギナーズ 2012年3月号

    日経PCビギナーズ 2012年3月号

    パソコン初心者応援マガジン
    ・写真とビデオをデジタル保存
    ・ウェブアルバムを使おう
    ・フェイスブック初めの一歩ほか

  • 日経WinPC 2012年3月号

    日経WinPC 2012年3月号

    パワーユーザーのためのPC総合情報誌
    ・2012年版自作の疑問100
    ・旬のPCケース25製品レビュー
    ・Radeon HD7970を速攻テストほか

  • 日経PC21 2012年3月号

    日経PC21 2012年3月号

    ビジネスマンのパソコン誌
    ・今すぐ始めるクラウド
    ・DVD&ブルーレイ活用術
    ・ネット&携帯電話 節約ガイドほか

日経パソコンスキルアップ倶楽部