また失敗したの?と言われる前に セキュリティ登龍門50

SQLインジェクション攻撃数が300倍に!?

2009/02/17


 前回の「ケースファイル」で、手口と対策をくわしく紹介したSQLインジェクションだが、実際にはどのような頻度で被害が生じているのだろうか。今回は、統計からみた現状と最新の傾向をレポートする。不正アクセスに起因する他の問題、および脆弱性に関する情報入手法も含め、今後の対策にぜひ役立てていただきたい。

SQLインジェクション


1

SQLインジェクションによる被害状況

 2006年以降、Webサイトへの攻撃が年々増加の一途をたどっている。セキュリティ上の重要インシデントのターゲットに占めるWebサイトへの攻撃の割合をみると、2006年には53%だったのが、2008年には95%までになっている(図1)。現在では、重要なセキュリティインシデントのほとんどが、Webサイトで発生していることになる。

図1 重要インシデントのターゲット
図1 重要インシデントのターゲット
出典:JSOC侵入傾向分析レポート Vol.11
(資料提供:ラック/JSOC)

 そこで今回は、株式会社ラックのJSOC(Japan Security Operation Center)による監視状況と、IPA(情報処理推進機構)への届出状況をもとに、統計からみた現状と傾向をレポートする。
  JSOCは、ラックが2002年に開設したセキュリティ監視センターで、独自の「おとりサーバ」が収集した攻撃を分析してサイバー攻撃の最新傾向を調査し、年に2回「侵入傾向分析レポート」を一般に公開している。またIPAは、2004年から、ソフトウェア製品およびWebアプリケーションの脆弱性に関する情報の届出を受け付けており、毎月レポートをプレスリリースとして公開している。こうした情報にも、日ごろから目を向けておくようにしたい。

1-1

Webサイトの脆弱性届け出が激増中

 次に、図2をみていただきたい。2008年第4四半期(2008年10月から12月まで)のIPAへの脆弱性情報の届出件数は合計1430件に及び、ソフトウェア製品に関するものがわずか60件だったのに対して、段違いに多い。2004年の受け付け開始まで遡って累計をみても、ソフトウェア製品に関するもの861件に対し、Webサイトに関するものは3514件に達し、Webサイトに関する届出が全体の約5分の4を占めている。

図2 脆弱性届出状況の四半期別推移(2008年第4四半期)
図2 脆弱性届出状況の四半期別推移(2008年第4四半期)
出典:ソフトウェア等の脆弱性関連情報に関する届出状況[2008年第4四半期(10月〜12月)]
(資料提供:IPA(情報処理推進機構))

 2008年の第3四半期以降に届出が急増しているのは、今回のテーマであるSQLインジェクションの他、クロスサイトスクリプティングや、DNSキャッシュ・ポイズニングに関する届出も激増しているからだ。クロスサイトスクリプティングとは、Webアプリケーションの脆弱性の一種で、訪問者が入力した内容をそのままサイトに反映するようなプログラムが、悪意あるコードを訪問者のブラウザに送ってしまう脆弱性で、この届出が44%を占めている。2番目に多いのが、DNSキャッシュ・ポイズニングに関する届出だ。これはDNSキャッシュサーバがDNSコンテンツサーバを兼ねている構成のウェブサイトで、DNSサーバに脆弱性や設定の不備があった場合に生じる問題である。さらに、SQLインジェクションは16%を占め、その他の届出ではファイルの誤った公開が3%、HTTPレスポンス分割が2%などとなっている(図3)。

図3 Webサイトの脆弱性に関する届出の種類の内訳(2008年第4四半期)
図3 Webサイトの脆弱性に関する届出の種類の内訳(2008年第4四半期)
出典:ソフトウェア等の脆弱性関連情報に関する届出状況[2008年第4四半期(10月〜12月)]
(資料提供:IPA(情報処理推進機構))
1-2

2008年12月には前年の300倍の攻撃数に!

 図3を見てSQLインジェクションは意外に少ないと思われるかもしれないが、実はそうではない。次の図4は、2009年1月8日にラック/JSOCが公表した、SQLインジェクションの攻撃検知数を表したグラフだ。

図4 SQLインジェクション攻撃検知数の推移(2008年12月まで)
図4 SQLインジェクション攻撃検知数の推移(2008年12月まで)
出典:JSOCセキュリティアラート(2009年2月4日発表)
(資料提供:ラック/JSOC)

 まず、水色の枠内をみると、2008年の春以降、爆発的な勢いでSQLインジェクション攻撃が増加していることがわかる。2008年10月は26万6257件、さらに12月には1502万7791件もの攻撃件数が記録された。2007年で最も攻撃検知数の多かった時でも5万件程度であり、それと比較すると2008年12月の検知数は300倍にも激増していることがわかる。さらに、2008年の12月のデータを細かく日別にみてみると、SQLインジェクションによるWebサイトの改ざん行為の検知数が急激に増えたのは12月15日あたりからで、さらに12月19日以降、ボット(不正プログラム)が、組織内に潜入するという被害の急増も確認されている。2009年1月になって、攻撃検知数は150万8852件と前月の約10分の1の規模に激減しているが、それでも2008年の最初の傾向と比較すれば、依然として多くの攻撃が続けられていることがわかる。
 12月に急増が確認された「ボット」とは、ネットワーク上のコンピュータにこっそり仕込まれた不正プログラムのことで、攻撃者の操作により、任意の攻撃を無差別、広範囲に行うことができる。ボットによる自動攻撃は、かつては中国のIPアドレスから行われることが多かったが、現在では特定の国にとどまらず、世界各国から攻撃が行われるようなってきている。この時期の攻撃増加は、世界各国へのボットの蔓延と無縁ではない。
 攻撃元となったIPを国別に示したのが図5だ。14日からは韓国のボットネットを使っての攻撃が、さらに19日あたりからは日本のボットネットからの攻撃が増えていることがわかる。これは、SQLインジェクションによりボット感染した日本国内のPCからの攻撃によるものと考えられる。

図5 国別SQLインジェクション攻撃元IP数の推移(2008年12月13日から20日)
図5 国別SQLインジェクション攻撃元IP数の推移(2008年12月13日から20日)
出典:JSOC侵入傾向分析レポート Vol.11
(資料提供:IPA(情報処理推進機構))

 図4に戻ると、2008年の6月や11月のように、SQLインジェクション攻撃数は一時的に激減することがある。このことから、攻撃の主体となっている者が1人〜数人程度の少数であることが推測できる。攻撃者側でメンテナンスやネットワーク障害などの事情があり、一時的に攻撃ができない状態になったのではないかとの見方もされている。

このページの先頭へ

2

SQLインジェクションの近年の傾向

2-1

攻撃目的の変化

 他に注目すべき傾向として、攻撃目的の変化がある。次の図6は、SQLインジェクションの検知件数を目的別に表したものだ。赤の折れ線が情報の改ざんを目的とする攻撃の件数、青の折れ線が情報の搾取を目的とする攻撃の件数を示している。2008年の6月ごろを境に、情報の改ざんを狙う攻撃が、情報の搾取を目的とする攻撃よりも多くなってきていることがわかる。

図6 SQLインジェクションの目的別攻撃件数
図6 SQLインジェクションの目的別攻撃件数
出典:JSOC侵入傾向分析レポート Vol.11
(資料提供:ラック/JSOC)

 さらに、Webサイトの脆弱性を狙う攻撃について詳しく見てみよう。図7はWebサイトの脆弱性に関する届出を脅威の種類別に見たもので、届出総数3514件から不受理のものを除いた3415件の内訳を示している。これによれば、上位4位までの中に「本物サイト上への偽情報の表示」「データの改ざん・消去」「Cookie情報の漏洩」が含まれている。これらはすべてSQLインジェクションあるいはクロスサイトスクリプティングによる脅威だ。これらを合わせると、実に全体の65%を占める。SQLインジェクションなどへの対策がいかに重要かがよくわかるデータだ。

図7 Webサイトの脆弱性 脅威別内訳(届出受付開始から2008年12月末まで)
図7 Webサイトの脆弱性 脅威別内訳(届出受付開始から2008年12月末まで)
出典:ソフトウェア等の脆弱性関連情報に関する届出状況[2008年第4四半期(10月〜12月)]
(資料提供:IPA(情報処理推進機構))

 従来は、データの詐取を目的とした攻撃が多く、前回の記事でもそのケースを取り上げた。しかし現在ではその傾向が変わり、情報の改ざんを狙った攻撃が増えている。その攻撃は明らかにWebサイトのユーザをターゲットにしており、Webサイトへのアクセスにより不正サイトに誘導したり、ウイルス/スパイウェアなどをダウンロードさせたりするようなものになってきた。その結果、フィッシング詐欺や、ボットの拡散などの未来の攻撃の用意が進められる危険がある。これは世界的な傾向であり、攻撃者はこの種の攻撃を効率的に行う手法を確立したものと考えられる。
 多くのユーザがアクセスするWebサイトの運営責任者は、特に十分に注意しなければならない。前回はSQLインジェクション対策を簡単に紹介したが、単一の対策では防ぎようがないのが現在の攻撃だ。対策を組み合わせて実行し、最新の手口にも対抗できるよう、絶えず情報を仕入れながらシステムをチェックしていくことが、今後は不可欠だ。

2-2

ソフトウェア製品でも脆弱性が最も多いのはWebアプリケーション

 次にソフトウェア製品に関する脆弱性関連情報(累計861件)の内訳を見てみよう。中には不受理のケースもあるので、総数は729件になるが、製品種類別でみると、図8のとおりWebアプリケーションソフトが4割以上の件数を占めている。これにはオープンソースソフトウェアのケースも含まれるが、オープンソースソフトウェアの場合の件数がそれ以外の件数を上回ったのは06年の第2四半期に一度だけで、現在もそれ以外のソフトウェアの比率のほうが高い。

図8 ソフトウェア製品の脆弱性 製品種類別内訳(届出受付開始から08年9月末まで)
図8 ソフトウェア製品の脆弱性 製品種類別内訳(届出受付開始から08年9月末まで)
出典:ソフトウェア等の脆弱性関連情報に関する届出状況[2008年第4四半期(10月〜12月)]
(資料提供:IPA(情報処理推進機構))

 たとえ有名ベンダが提供しているソフトウェアであっても、脆弱性がないとは言い切れない。メーカー製品であっても自社開発のアプリケーションの場合と同様に、新手の攻撃に対して最初から対策しておくことは非常に難しいはずだ。とはいえ、ベンダの多くは脆弱性を発見したらすぐに公表し、それに対するパッチを配布したり、設定の変更法などを広報したりしている。一方オープンソースの場合には、一般にそうした通知が自動ではなされないため、ユーザ自らが情報収集を行わなければならず、脆弱性が見過ごされてしまうことも多いのが実情だ。
 脆弱性情報や対応パッチ等は毎日大量に発生している。自社で保有するソフトウェアに該当する情報を日常的に収集し、必要なものを選んで自社システムに適用できるようにしておくことが、現在の基本的な運用管理業務の1つになっている。

このページの先頭へ

3

脆弱性に関する情報の入手法

 それでは製品の脆弱性に関する情報はどのように収集すればよいだろうか。SIerやセキュリティ専門会社では脆弱性情報提供サービスを行っているし、脆弱性対策情報ポータルサイトJVN(Japan Vulnerability Notes)で公開されているJVN iPediaのデータベースならば誰でも手軽に確認できる。
 ここには、国内で利用されるソフトウェア等の製品(OS、アプリケーション、ライブラリ、組込み製品など)の脆弱性対策情報が収集・蓄積されている。新着情報を取得できるRSSサービスもあり、キーワードで検索することも可能だ。JVNに掲載される脆弱性対策情報のほか、JVN以外で公開される国内製品あるいは国内で広く利用されているソフトウェア等の製品に対する脆弱性対策情報についても公開対象とし、脆弱性対策情報を蓄積している。
 また言うまでもなく、製品ベンダからの情報は重要であり、またメディア等の報道にアンテナを張ることも必要になる。自社で利用している製品に関しては、脆弱性情報ができるだけ手間をかけずに入手できるような手段を講じておく必要があるだろう。有償サービスを利用する以外にも、RSSを有効に活用するなどのコスト効果の高い方法を見つけておきたい。


取材協力

独立行政法人 情報処理推進機構企業サイトへ

このページの先頭へ
セキュリティ情報局へ登録する

セキュリティ情報局へ登録するにはキーマンズネットへの会員登録が必要です。

会員登録(無料)・ログイン

この記事を読んだアナタにおすすめします。



このページの先頭へ

キーマンズネットとは

ページトップへ