最新のSQLインジェクション攻撃「LizaMoon」

現在、SQLインジェクションによるWebサイトを改ざんするLizaMoon攻撃が世界中に広がっています。

LizaMoonの名前の由来
LizaMoon攻撃は、乗っ取られたページに挿入されたスクリプトコードで参照されていたドメインにちなんで名付けられました。

例:script src=http://lizamoon[dot] com /ur[dot] php

LizaMoon攻撃に関係しているドメインは、lizamoon.comだけではありません。この事象の追跡を開始して以来、多くのドメインが追加されており、現在40件前後のドメインが確認されています。悪質なドメインへのトラフィックをブロックしようとしているのであれば、まずはこれらの関連ドメインをブロックするのが良いでしょう。乗っ取られたドメイン(攻撃の被害にあった正常なサイト)を含む、関連するすべてのドメインをブロックするというような提言がありますが、この方法は少々やり過ぎだと思われます。被害に遭ったサイト数は最大150万件といわれていますが、脅威を防ぐためにこれらすべてのサイトへのトラフィックをブロックする必要はありません。

安心感を得るには
挿入されたスクリプトにより、クライアントは、不正な、または偽のセキュリティソフトをホストしているサイトにリダイレクトされます。この種類のマルウェアは、マカフィーが取り扱っている中でも最も広まっている静的なマルウェアのひとつです。

この攻撃に関係しているあるパッケージは、以下の通り、検出されます。

名前:FakeAlert-PJ.gen.c ウイルス定義(DAT)ファイル:6304 リリース日:2011年4月2日 情報:http://www.mcafee.com/japan/security/virF.asp?v=FakeAlert-PJ.gen.c

この攻撃に関係しているlizamoon.comなどといったホストは、マカフィーのWebレピュテーションサービス(http://mcaf.ee/92e06)で「悪質」に分類されています。さまざまな層に配備されている複数のマカフィー製品が、この情報を活用して、トラフィックをブロックし、悪質なトラフィックを排除しています

SQLインジェクション攻撃のネットワーク側は、McAfee Network Security Platformで検出されます。この攻撃を検出するシグネチャは1年ほど前に作成されています(リリース4.1.74、5.1.44、6.1.11に組み込まれたシグネチャ:HTTP: SQL Injection – evasion III)。

まとめ
これが最新のSQLインジェクション攻撃です。自社の機密情報を守るためには、ユーザー入力の制限、ユーザー入力の認証、入力のタイプの制限、機密データの暗号化、最小権限の原則によるアカウントの作成など、シンプルで基本的な方法が非常に効果的です。

関連情報

※本ページの内容はMcAfee Blogの抄訳です。
原文:LizaMoon the Latest SQL-Injection Attack

[レポート]クラウド環境の現状レポートと今後 ~クラウドの安全性の状況と実用的ガイダンス

 マカフィーでは、1,400人のIT担当者に年次アンケートを実施し、クラウド採用状況やセキュリティについて調査しました。
 調査の結果、クラウドの採用とリスク管理への投資を増やしている組織がある一方で、クラウドの採用に慎重なアプローチをしている組織が多いことがわかりました。
 本調査では、クラウドサービスの利用状況を分類し、短期投資の確認、変化速度の予測、重要なプライバシーおよびセキュリティ上の障害物への対応方法の概要を示しています。

 本レポートでは、クラウドの現状把握と今後の方向性、クラウド対応の課題やポイントを理解することができます。

<掲載内容>
■ 主要調査結果
■ 調査結果から言える方向性
■ 課題への対応
■ 変化への対応力
■ 考慮すべき点:安全なクラウドの採用で事業を加速