今日、世界を揺るがしたSQLインジェクション攻撃、LizaMoon。100万以上のウェブサイトが被害を受けました。しかし、慌てる必要はありません。少しの情報と常識があれば、LizaMoonが単なる軽微な迷惑行為に過ぎないことはすぐに分かります。
どうしたの?
LizaMoonは、正当なサイトに悪意のあるコードを挿入するSQLインジェクション攻撃です。しかし、SQLインジェクションという名前だからといって、Microsoft SQL Serverに欠陥があると決めつけてはいけません。
LizaMoonを最初に発見したセキュリティ企業WebsenseのFAQでは、「あらゆる点から見て、これはWebアプリケーションの脆弱性であると考えられます。どの脆弱性であるかはまだ特定できていませんが、SQLインジェクション攻撃は、SQLコマンドをサーバーにサニタイズされていない入力で発行することで実行されます。これはSQL Server自体の脆弱性を意味するものではなく、Webアプリケーションがユーザーからの入力を適切にフィルタリングしていないことを意味します。」と説明されています。
McAfee Labsのセキュリティリサーチ&コミュニケーション担当ディレクター、デイブ・マーカス氏は、「この種の脅威ベクトルは一般的であり、実際には常に発生しています。しかし、常にこの規模で発生するわけではありません。現在、これを自動化するツールは数多く存在します。」と述べています。
どうやってそうなった?
WebsenseのFAQに記載されているように、SQLインジェクションは、脆弱なWebアプリケーションを介して悪意のあるコードをデータベースサーバーに挿入する攻撃です。Webアプリケーションには、不正なコマンドの通過を防ぐため、データをフィルタリングおよびサニタイズするフィルターが実装されている必要がありますが、LizaMoonが明らかに指摘しているように、すべてのWebアプリケーションがそうしているわけではありません。
Web管理者がSQLインジェクション攻撃を防ぐためにできることはほとんどありません。Qualysの脆弱性ラボマネージャー、アモル・サルワテ氏は次のように述べています。「Web管理者レベルでSQLインジェクションを軽減するのは難しいです。Webアプリケーションファイアウォール(WAF)を正しく使用すれば、データベースへの不正コードの注入を回避できます。管理者はWebアプリケーションスキャナ(WAS)を使用して、自社のWebサイトがそのような攻撃を受けやすいかどうかを判断できます。しかし、根本原因を修正するには、基盤となるソースコードを修正する必要があります。」
基本的に、Web 管理者が Web アプリケーションの脆弱性をスキャンしたり、SQL コマンドが Web アプリケーションに到達する前にフィルタリングやサニタイズを行うための追加の保護層を提供したりするために使用できるツールはありますが、実際の解決策は、追加のサードパーティ ツールを必要とせずに Web アプリケーションを安全に保ち、不正な SQL コマンドを防ぐことです。
LizaMoonは私に影響を与えますか?
いいえ、そうではありません。LizaMoonによって挿入された悪意のあるコードは、侵入先のサイトから訪問者を偽のアンチマルウェア保護をプッシュする別のサイトへリダイレクトします。PCが感染していることを示すポップアップ警告が表示されます。「OK」をクリックすると、悪意のあるコードがシステムの偽のスキャンを実行し、検出されたマルウェアの脅威がいくつか表示されます。「すべて削除」をクリックして存在しない脅威を駆除しようとすると、本物のマルウェア、つまり偽のアンチマルウェアソフトウェアがダウンロードされてしまいます。
いかなるユーザーも、不正なAV詐欺に騙されるべきではありません。AVソフトウェアをインストールしているかどうかを確認しましょう。インストールしている場合は、警告メッセージやシステムスキャンがどのようなものか理解できる程度に使い慣れている必要があります。さらに重要なのは、マルウェアが不正なAVのフルバージョンをダウンロードするために料金を要求する段階に達した場合、頭の中で警鐘が鳴るはずだということです。
AV ソフトウェアをインストールしていない場合は、ステップ 1 で止まって、「AV ソフトウェアをインストールしていないのに、PC が侵害されている可能性があるという警告メッセージが表示され、PC がマルウェア スキャンを実行しているのはなぜでしょうか?」と自問する必要があります。この疑問が浮かばない場合、またはステップ 1 を合理的に処理して通過した場合、ステップ 2 に進み、マルウェアが PC を「修復」するために不正な AV ソリューションをダウンロードするために支払いを要求したときに、「脅威を検出し、システム上のマルウェアをスキャンして特定できるソフトウェアが PC にインストールされているのに、修復のために別のソフトウェアをダウンロードするために料金を支払わなければならないのはなぜでしょうか?」と自問する必要があります。
Qualys の Sarwate 氏は、この単純な常識を次のように要約しています。「ユーザーは、自分のシステムで実行されている AV について認識し、不正な AV やその他の偽のアプリケーションの罠に陥らないように自ら学ぶ必要があります。」
