セキュリティ企業のラックは2008年8月20日、インターネットにおける攻撃の現状などをまとめたレポートを発表した。それによると、2008年6月以降、ボットを使って一般ユーザーのパソコンを乗っ取り、脆弱(ぜいじゃく)なWebサイトへSQLインジェクション攻撃を仕掛けるケースが急増しているという。
SQLインジェクション攻撃によってWebページを改ざんし、ウイルス(マルウエア)を感染させる罠(わな)を挿入する攻撃が後を絶たない。罠には、WindowsやFlash Playerといった、広く使われているソフトウエアの脆弱性を突く仕掛けが施されている。
このため脆弱性のあるパソコンでは、改ざんページにアクセスするだけでウイルスに感染。感染したウイルスの多くは、パソコンに保存されている情報やユーザーがキー入力した情報を盗み、攻撃者に送信する。
ラックの調査によれば、国内サイトへのSQLインジェクション攻撃は2種類。1つは、攻撃者が対象サイトへ直接攻撃を仕掛けてページを改ざんするもの。このケースでは、攻撃元は中国のISPが管理するIPアドレスからがほとんどだという。
また、ソフトウエアの脆弱性を突く仕掛けは、中国製と見られるツールで作成されているという(図1)。ツールの利用料は、「標準版」が1カ月で400人民元(およそ6350円)。
もう1つは、一般ユーザーのパソコンに感染させたボットを使うもの(図2)。ボットは、Googleのような検索サイトを使って、攻撃対象のWebサイトを探索。脆弱性のありそうなWebサイトを見つけると、SQLインジェクション攻撃を実行。攻撃に“成功”すると、前述のようなウイルスの罠を仕込む。
国内サイトへのSQLインジェクション攻撃は2008年3月ごろから急増しているが、この「SQLインジェクションボット」による攻撃は、2008年6月ごろから増えているという。攻撃の際に送信されるデータには若干の違いが見られることから、SQLインジェクションボットは1種類ではなく、亜種が複数存在すると推測できるとしている。
7年分168冊、約2万ページが1枚のDVDに!
日経パソコン読者には特価を適用!
パソコンはもちろん、プリンター、スマホ、
テレビもつないで、もっと便利に!
とにかく読みやすい入門書!
見やすい文書作りのコツを「実例」で学ぶ!
そもそもスマホって? 携帯と何が違うの?
も解説。買い方、使い方を分かりやすく紹介
パソコンを仕事と生活に活かす総合情報誌
・Vista/XPから脱出せよ
・「2012年型パソコン」を読み解く
・ビジネスプリンター購入ガイドほか
パソコン初心者応援マガジン
・写真とビデオをデジタル保存
・ウェブアルバムを使おう
・フェイスブック初めの一歩ほか
パワーユーザーのためのPC総合情報誌
・2012年版自作の疑問100
・旬のPCケース25製品レビュー
・Radeon HD7970を速攻テストほか
ビジネスマンのパソコン誌
・今すぐ始めるクラウド
・DVD&ブルーレイ活用術
・ネット&携帯電話 節約ガイドほか
「日経パソコン」のお申し込み、詳しい内容はコチラから
ニュース一覧を見る
10位まで表示
閉じる
もっと見る
