「LizaMoon」:大規模なSQLインジェクションによるWeb改ざんを確認

「TrendLabs(トレンドラボ)」では、膨大な数の正規Webサイトが改ざん被害を受けた大規模攻撃を確認しています。この攻撃では、正規のWebサイトに不正なコードが組み込まれ、閲覧したユーザが、最終的には、「FAKEAV」などの不正プログラムの被害をもたらすサイトへ誘導されることとなります。

改ざんされた膨大な数のWebサイト間には、これといった共通項目はなく、特定の業界にターゲットを絞った攻撃ではないようです。Webサイトのジャンルは、天文学、病院、スポーツ、冠婚葬祭、電子機器など多岐にわたります。

■追加され続けるURL
調査の結果、この攻撃では以下の5つのURLが、「SQLインジェクション」の手法で改ざんされたWebサイト内に組み込まれています。「LizaMoon」(ライザムーン)という名称は、リダイレクトするURLの文字列から由来します。これらのURLは、いずれも単一のIPアドレスを持つサーバを指しています。ただし、このIPアドレスは、トレンドマイクロでは、以前から「不正なIPアドレス」と分類しており、これら5つのURLも、「Webレピュテーション」技術により2011年3月25日の時点からブロック済みです。

  • Wo[BLOCKED]ks.com/ur.php
  • al[BLOCKED]ne.com/ur.php
  • al[BLOCKED]er.com/ur.php
  • li[BLOCKED]on.com/ur.php
  • t6[BLOCKED]56.info/ur.php

ただし、既に新たな展開も確認しています。「li[BLOCKED]on.com/ur.php」にリダイレクトするように改ざんされていたサイトが、「ta[BLOCKED]us.com/ur.php」という別のURLにリダイレクトされるように変更されていたようです。この新しいURLも、上記5つのURLと同じIPアドレスを指定しており、その意味では、既にブロック済みであり、問題はありません。しかしながら、この事実は、この攻撃に関わるサイバー犯罪者が、まだブロックされていない危険なサイトへリダイレクトさせるように変更を施す可能性があることを示しています。

■「感染の連鎖」により「FAKEAV」および「WORID」へと誘導
「感染の連鎖」という点では、この攻撃は典型的な例だといえます。改ざんされたWebサイトを閲覧したユーザは、組み込まれた不正スクリプトにより、上述のURLへリダイレクトされます。そして何度かリダイレクトを繰り返し、最終的には、不正なファイルがダウンロードされるサイトへと誘導されます。こうしたリダイレクトを経たのちに「偽セキュリティソフトの検索画面」が表示され、ユーザ側でも容易に気づくことができます。むろん、この検索自体も偽物であり、いわゆる「FAKEAV」による手口の発端でしかありません。その後、「偽の警告文と共にインストーラを装った不正なファイルをダウンロードさせる」という常とう手段が続くわけです。

今回の攻撃に関連する不正プログラムは、「TROJ_FAKEAV.BBK」および「TROJ_WORID.A」として検出されます。

今回のような大規模改ざん攻撃は、決して珍しいものではなく、それだけに、改ざんされたサイトに膨大な数の訪問者がいる有名サイト等が含まれている場合、その被害は深刻です。トレンドマイクロのクラウド型セキュリティ基盤「Trend Micro Smart Protection Network」は、関連する不正なURLを未然にブロックし、不正なファイルも直ちに検知しますので、こうした脅威からもユーザを確実に守ることができます。

参考記事:
LizaMoon, Etc. SQL Injection Attack Still On-going
 By JM Hipolito (Technical Communications)

 翻訳:橋元 紀美加(Core Technology Marketing, TrendLabs)