検索:
ホーム   »   不正プログラム   »   「LizaMoon」:大規模なSQLインジェクションによるWeb改ざんを確認

「LizaMoon」:大規模なSQLインジェクションによるWeb改ざんを確認

  • 投稿日:2011年4月1日
  • 脅威カテゴリ:不正プログラム, TrendLabs Report, 改ざん
  • 執筆:TrendLabs フィリピン
0

「TrendLabs(トレンドラボ)」では、膨大な数の正規Webサイトが改ざん被害を受けた大規模攻撃を確認しています。この攻撃では、正規のWebサイトに不正なコードが組み込まれ、閲覧したユーザが、最終的には、「FAKEAV」などの不正プログラムの被害をもたらすサイトへ誘導されることとなります。

改ざんされた膨大な数のWebサイト間には、これといった共通項目はなく、特定の業界にターゲットを絞った攻撃ではないようです。Webサイトのジャンルは、天文学、病院、スポーツ、冠婚葬祭、電子機器など多岐にわたります。

■追加され続けるURL
調査の結果、この攻撃では以下の5つのURLが、「SQLインジェクション」の手法で改ざんされたWebサイト内に組み込まれています。「LizaMoon」(ライザムーン)という名称は、リダイレクトするURLの文字列から由来します。これらのURLは、いずれも単一のIPアドレスを持つサーバを指しています。ただし、このIPアドレスは、トレンドマイクロでは、以前から「不正なIPアドレス」と分類しており、これら5つのURLも、「Webレピュテーション」技術により2011年3月25日の時点からブロック済みです。

  • Wo[BLOCKED]ks.com/ur.php
  • al[BLOCKED]ne.com/ur.php
  • al[BLOCKED]er.com/ur.php
  • li[BLOCKED]on.com/ur.php
  • t6[BLOCKED]56.info/ur.php

ただし、既に新たな展開も確認しています。「li[BLOCKED]on.com/ur.php」にリダイレクトするように改ざんされていたサイトが、「ta[BLOCKED]us.com/ur.php」という別のURLにリダイレクトされるように変更されていたようです。この新しいURLも、上記5つのURLと同じIPアドレスを指定しており、その意味では、既にブロック済みであり、問題はありません。しかしながら、この事実は、この攻撃に関わるサイバー犯罪者が、まだブロックされていない危険なサイトへリダイレクトさせるように変更を施す可能性があることを示しています。

■「感染の連鎖」により「FAKEAV」および「WORID」へと誘導
「感染の連鎖」という点では、この攻撃は典型的な例だといえます。改ざんされたWebサイトを閲覧したユーザは、組み込まれた不正スクリプトにより、上述のURLへリダイレクトされます。そして何度かリダイレクトを繰り返し、最終的には、不正なファイルがダウンロードされるサイトへと誘導されます。こうしたリダイレクトを経たのちに「偽セキュリティソフトの検索画面」が表示され、ユーザ側でも容易に気づくことができます。むろん、この検索自体も偽物であり、いわゆる「FAKEAV」による手口の発端でしかありません。その後、「偽の警告文と共にインストーラを装った不正なファイルをダウンロードさせる」という常とう手段が続くわけです。

今回の攻撃に関連する不正プログラムは、「TROJ_FAKEAV.BBK」および「TROJ_WORID.A」として検出されます。

今回のような大規模改ざん攻撃は、決して珍しいものではなく、それだけに、改ざんされたサイトに膨大な数の訪問者がいる有名サイト等が含まれている場合、その被害は深刻です。トレンドマイクロのクラウド型セキュリティ基盤「Trend Micro Smart Protection Network」は、関連する不正なURLを未然にブロックし、不正なファイルも直ちに検知しますので、こうした脅威からもユーザを確実に守ることができます。

参考記事:
「LizaMoon, Etc. SQL Injection Attack Still On-going」
 By JM Hipolito (Technical Communications)

 翻訳:橋元 紀美加(Core Technology Marketing, TrendLabs)

Related posts:

  1. タイ政府関連Webサイトが改ざん。偽セキュリティソフトをばら撒く
  2. 2013年サイバー攻撃の「三大脅威」と、2014年の脅威予測は?
  3. Adobe Flash Playerに存在するゼロデイ脆弱性、RAT「PlugX」に誘導
  4. 「Gizmodo」のブラジル版改ざんを確認。バックドア型不正プログラムに誘導


関連ホワイトペーパー

    • 個人のお客さま向けオンラインショップ
    • |
    • 法人のお客さま向け直営ストア
    • |
    • 販売パートナー検索
    • Asia Pacific Region (APAC): Australia / New Zealand, 中国, 日本, 대한민국, 台灣
    • Latin America Region (LAR): Brasil, México
    • North America Region (NABU): United States, Canada
    • Europe, Middle East, & Africa Region (EMEA): France, Deutschland / Österreich / Schweiz, Italia, Россия, España, United Kingdom / Ireland
    • 電子公告
    • ご利用条件
    • プライバシーポリシー
    • Copyright © 2017 Trend Micro Incorporated. All rights reserved.