大規模SQLインジェクション攻撃、通称「LIZAMOON」への対応

各所より報告されている大規模SQLインジェクション攻撃(以下、LIZAMOON攻撃)について、SaaS型WAFサービス『Scutum』での対応をご報告します。
2011年4月19日現在

新たなタイプの大規模SQLインジェクション攻撃 『LIZAMOON』

LIZAMOON(ライザムーン)攻撃はWebサイトを改ざんし、ユーザを不正サイトに誘導するものです。その際、Webサイトの改ざんはSQLインジェクション攻撃を用いて行われます。

この攻撃は、世界各地で多数報告されており、100万以上のWebサイトで不正サイトへのリンクが張られる等の被害が発生しております。

日本IBMの報告によると攻撃対象サイトはマイクロソフト社のSQLServerを利用している、ASPにて構築されたWebサイトとのことです。また、攻撃に使用される不正なWebサイトのURLの終わりの部分が「/ur.php」であるとトレンドマイクロから報告されています。

日本IBMによる情報 (同社Webサイト) トレンドマイクロによる情報 (同社Webサイト)

『LIZAMOON』 攻撃のメカニズム

攻撃は以下の流れで行われます。Scutumにおいても、2011年2月頃より、本攻撃の調査段階と思われる通信が確認されています。

【図】大規模SQLインジェクション攻撃「LizaMoon」の仕組み

Scutum の対応

SaaS型WAFサービス『Scutum』では、現時点でLIZAMOON攻撃への対応を完了しています。

具体的な攻撃内容は一般的なSQLインジェクション攻撃と同様のため従来より提供しているシグネチャで防御可能でした。実際にScutumでもLIZAMOON攻撃と思われる通信を多数確認しておりましたが、すべての通信をブロックしたため、Scutumをご利用中のWebサイトではLIZAMOON攻撃の被害は発生しておりません。

Scutumでは、今後も新たな攻撃や被害の発生に注視してまいります。