この記事を読む方におすすめの記事
今!気になるレビュー
SQLインジェクションで大手サイト襲われる
3月中旬、多くのウェブサイトが改竄(かいざん)され、閲覧したユーザーのPCにマルウェア(ウイルスなど悪意のあるソフトウエア)がインストールされる事件が多発した。改竄されたサイトにはニフティなどの大手ポータルや、あろう事かウイルス対策ソフトで有名なトレンドマイクロまで含まれている。
セキュリティー企業のラックによると、この攻撃は日本をターゲットとしており、3月11日ごろから始まり18日ごろに収束した。11日以前の被害発生や、米国でも類似攻撃が多発したなどの報道もある。
今回の攻撃では、ウェブページの一部に悪意あるサイトへの見えないリンクが埋め込まれていた。改竄されたページを閲覧すると、ジャバスクリプトによってその危険なリンクが自動で実行され、マルウェアがインストールされることもある。マルウェアからは、あるオンラインゲームに関する情報が盗み出されるようになっていた。ただ、今回のマルウェア自体の威力は弱く、ウイルス対策ソフトで防御できた。
標的にされたのはマイクロソフトが開発した「アクティブサーバーページ(ASP)」という技術を利用したウェブサイト。攻撃に使われた手法は「SQLインジェクション」という基本的な攻撃だ。
SQLはデータベースから条件にあったデータを取り出すときなどに使う命令語。ユーザーが入力した検索キーワードなどを含めてSQLは作られるが、攻撃者はSQLにとって特別な意味のある文字と命令を入力して攻撃命令を作らせる。
この防御方法はよく知られている。
普通のプログラマーなら確実に予防できるが、今回はASPを使ったサイトでプログラマーの知らないところにこの脆弱(ぜいじやく)性ができてしまった。責任はマイクロソフトにありそうだが、過去の事例を見るとうやむやになりそうだ。
ユーザーとしては、ウイルス対策ソフトとファイアウォールを使うことで対策可能だ。これを教訓に今後に備えよう。
