SQLインジェクション・ワームに関する現状と推奨する対策案

Similar documents
Microsoft IISのWebDAV認証回避の脆弱性に関する検証レポート

SOC Report

感染条件感染経路タイプウイルス概要 前のバージョン Adobe Reader and Acrobat より前のバージョン Adobe Reader and Acrobat before より前のバージョン Adobe Flash Player before

感染条件感染経路タイプウイルス概要 Authplay.dll (aka AuthPlayLib.bundle) を利用する Adobe Reader 9.x ~ より前のバージョンと 10.x から 上記動作環境に一致した環境下で当該 PDF タイプウイルスを実行することで

脆弱性を狙った脅威の分析と対策について Vol 年 7 月 21 日独立行政法人情報処理推進機構セキュリティセンター (IPA/ISEC) 独立行政法人情報処理推進機構 ( 略称 IPA 理事長 : 西垣浩司 ) は 2008 年度におけ る脆弱性を狙った脅威の一例を分析し 対策をまと

マルウェアレポート 2017年9月度版

マルウェアレポート 2018年1月度版

マルウェアレポート 2017年12月度版

マルウェアレポート 2018年2月度版

マルウェアレポート 2018年4月度版

JPCERT/CCインシデント報告対応レポート[2013年7月1日 ~ 2013年9月30日]

なぜIDSIPSは必要なのか?(v1.1).ppt

— intra-martで運用する場合のセキュリティの考え方    

OSI(Open Systems Interconnection)参照モデル

事前準備マニュアル

CloudEdgeあんしんプラス月次レポート解説書(1_0版) _docx

OSI(Open Systems Interconnection)参照モデル

事前準備マニュアル

PowerPoint プレゼンテーション

Apache-Tomcat と 冗長な UTF-8 表現 (CVE 検証レポート ) 2008 年 08 月 26 日 Ver. 0.1

ACTIVEプロジェクトの取り組み

マルウェアレポート 2018年3月度版

SOC Report

WannaCry とは WannaCry はランサムウェアの一種 WannaCry は ランサムウェアと呼ばれる身代金要求型のマルウェアです WannaCryptor WanaCrypt Wcry といった呼ばれ方もします 一般的にランサムウェアに感染すると 以下のようなデータを使用できないように暗

ログを活用したActive Directoryに対する攻撃の検知と対策

SOC Report

SOC Report

2.2 Reflected XSS 攻撃攻撃者の用意した悪意のあるリンクとターゲットサーバが同じホストである場合の Reflected XSS 攻撃を, 本稿では Reflected XSS 攻撃と呼ぶ. 例えば, サーバ A の target.php に Reflected XSS 脆弱性があった

PowerPoint プレゼンテーション

2015 年 4 月 15 日に発表された HTTP.sys の脆弱性 ( ) へ の対応について 製品名 : バージョン : 対象プラットフォーム : カテゴリ : iautolaymagic すべてすべて Web アプリ この度 マイクロソフト社製品において緊急度の高い脆弱性 (CV

Microsoft Word - gred_report_vol25_110830_final.docx

タイトルを1~2行で入力 (長文の場合はフォントサイズを縮小)

[重要]WindowsUpdate で公開された MS15-058:セキュリティ更新プログラム

Microsoft Word - gred_security_report_vol17.final

Drive-by-Download攻撃における通信の 定性的特徴とその遷移を捉えた検知方式

SOC Report

2

<4D F736F F D208E96914F8F8094F5837D836A B2E646F63>

intra-mart EX申請システム version.7.2 事前チェック

 お詫び

ダウンロードページアップデートマニュアル.ppt

Drive-by Download 攻撃に おけるRIG Exploit Kitの 解析回避手法の調査

<4D F736F F F696E74202D2091E63389F15F8FEE95F1835A834C A CC B5A8F FD E835A835890A78CE C CC835A834C A A2E >

SOC Report

SOC Report

延命セキュリティ製品 製品名お客様の想定対象 OS McAfee Embedded Control 特定の業務で利用する物理 PC 仮想 PC や Server 2003 Server 2003 ホワイトリスト型 Trend Micro Safe Lock 特定の業務で利用するスタンドアロン PC

JPCERT/CCインシデント報告対応レポート[2015年4月1日 ~ 2015年6月30日]

ウェブデザイン技能検定 1 級実技 平成 28 年度 第 4 回 ウェブデザイン技能検定 1 級 実技試験概要 試験にあたっての注意事項 試験者は本試験の留意事項 注意事項に留意して作業を行うこと ペーパー実技試験は 課題 1 から 5 までの 5 課題を 60 分間で行うこと 作業実技試験は 課題

Web Gateway資料(EWS比較付)

SiteLock操作マニュアル

目次 1. Web 改ざん検知概要 (1)Web 改ざん検知機能 P2 (2) サービスの提供対象および範囲 P2 2. Web 改ざん検知機能 (1) 解析について P2 (2) ホーム画面について P3 (3) 解析履歴 P3 (4) レポート作成 P4 (5) 解析内容の設定 P4 a. 基本

[重要]WindowsUpdate で公開された「CVE :Microsoft SQL Server

Microsoft PowerPoint - IW2009H1_nri_sakurai.pptx

<< 目次 >> 1 PDF コンバータのインストール ライセンスコードの入力 PDF にフォントを埋め込みたい場合の設定 PDF オートコンバータ EX で使用しない場合 PDF コンバータ単体で使用する場合の説明 PDF コンバータのアン

OSI(Open Systems Interconnection)参照モデル

金融工学ガイダンス

E 年 2 月 26 日 サービス & セキュリティ株式会社 e-gate センター サプライチェーン攻撃の脅威と対策について 1. 概要 サプライチェーン攻撃のリスクはかねてから指摘されていました 経済産業省が 2015 年に公表した サイバーセキュリティ経営ガイドライン

Pirates Buster Series Secure Viewer セットアップマニュアル (Web インストーラ)

ESET Smart Security 7 リリースノート

金融工学ガイダンス

6-2- 応ネットワークセキュリティに関する知識 1 独立行政法人情報処理推進機構

HULFT Series 製品における Javaの脆弱性(CVE )に対する報告

金融工学ガイダンス

べきでない悪意のあるSQL 文が攻撃者から入力された場合 データベースで実行される前にSQL 文として処理されないよう無効化する必要がありますが ( 図 1 1) 無効化されずにデータベースで実行された場合 データベースの操作が可能となります ( 図 1 2) 本脆弱性を悪用するとデータベース接続ユ

月次報告書 (2009 年 1 月分 ) フィッシング情報届出状況 2009 年 2 月 20 日

はじめに ウイルスに感染させるための罠が仕掛けられた悪意のある文書ファイルは これまでにも Office の脆弱性の悪用や マクロ機能を悪用する手口のものがありました 昨今 それらとは異なる新たな攻撃手口を使ったものが出てきています 本資料は 新たな攻撃手口について紹介し 注意点を説明するものです

JPCERT/CCインシデント報告対応レポート[2018年4月1日 ~ 2018年6月30日]

目次 1 はじめに AWS が提供するセキュリティモデル 責任共有モデルとセキュリティについて 検討すべきセキュリティ対策のポイント ミドルウェアの脆弱性と公開サーバに対する脅威 ミドルウェアで見つかる深刻な脆弱性..

緊急対応から見た、Webサイト用データベースセキュリティ対策

2018 年 3Q(7 月 ~9 月 ) の導入企業への攻撃状況は Blacklisted user agent の攻撃が多く確認され 全体の約 60% の割合を占めており 3 ヶ月で 13,098,070 件が検知されています また 無作為に既知の脆弱性を試行する WEB アタック や 攻撃可能な

スライド 1

クライアント証明書導入マニュアル

⑵ 攻撃情報 公開時点 (1 月 3 日 ) で悪用情報無し ⑶ 対象の製品 (CPU とシステム ) 1 対象 CPU Meltdown: Intel CPU 一部の ARM 製品 Spectre: Intel AMD ARM 各社のプロセッサーに影響 2 対象システム Windows OS X

マルウェアレポート 2017年10月度版

今月の呼びかけ 添付資料 ファイル名に細工を施されたウイルスに注意! ~ 見た目でパソコン利用者をだます手口 ~ 2011 年 9 月 IPA に RLTrap というウイルスの大量の検出報告 ( 約 5 万件 ) が寄せられました このウイルスには パソコン利用者がファイルの見た目 ( 主に拡張子

JPCERT/CCインシデント報告対応レポート[2011年7月1日~2011年9月30日]

SQL インジェクションの脆弱性

IBM Internet Security Systems スパイウェア対策ソリューションのご紹介 ~ 多層保護で実現するスパイウェア対策 ~ Rev1.1 日本アイ ビー エム株式会社 ISS 事業部 Copyright IBM Corporation 2008

金融工学ガイダンス

Microsoft Word JA_revH.doc

知的財産審査委員会用PCの購入 調達仕様書

2 セキュリティパスワード につきまして セキュリティパスワード は セキュリティ強度において ファイルを開くためのパスワードより低下します ソフトウェアによっては PDF の規格を遵守せず 印刷禁止等を守らないソフトウェアもあります このようなソフトウェアに対して セキュリティパスワード は効果が

IM-SecureSignOn

Symantec Endpoint Protection 12.1 の管理練習問題 例題 1. 管理外検出でネットワーク上のシステムを識別するとき 次のどのプロトコルが使用されますか a. ICMP b. TCP c. ARP a. UDP 2. ある管理者が Symantec Endpoint P

2. 留意事項セキュリティ対策を行う場合 次のことに留意してください 不正侵入対策の設定を行う場合 お使いのソフトウェアによっては今までのように正常に動作しなくなる可能性があります 正常に動作しない場合は 必要に応じて例外処理の追加を行ってください ここで行うセキュリティ対策は 通信内容の安全性を高

不正送金 フィッシング対策ソフト PhishWall( フィッシュウォール ) プレミアム について 中ノ郷信用組合では インターネットバンキングのセキュリティを高めるため 不正送金 フィッシング対策ソフト PhishWall( フィッシュウォール ) プレミアム をご提供しております ( ご利用は

スライド 1

PowerPoint プレゼンテーション

不正送金対策 フィッシング対策ソフト PhishWall( フィッシュウォール ) プレミアム のご案内 広島県信用組合では インターネットバンキングを安心してご利用いただくため 不正送金 フィッシング対策ソフト PhishWall( フィッシュウォール ) プレミアム を導入しました 無料でご利用

.1 準備作業の流れ 準備作業の流れは 以下のとおりです 必要なものを用意する. パソコンインターネット接続回線 E メールアドレス.-(1).-().-(3) 当金庫からの送付物.-(4) パソコンの設定をする.3 Cookie の設定を行う.3-(1) Java の設定を有効にする ( ファイル

インシデントハンドリング業務報告書

Technical Report 年 8 月 31 日 株式会社セキュアソフト 注意喚起 : バンキングトロージャンに感染させるマルウェア付きメール拡散について 1. 概要最近インターネットバンキングなど金融機関関連情報の窃取を目的としたマルウェア付きメールが 日本国内で多数配

Flash Player ローカル設定マネージャー

スライド 1

マイクロソフト セキュリティ インテリジェンス レポート 第 21 版 2016 年 1 月 6 月 主な調査結果の概要 このドキュメントは情報提供のみを目的としており 明示か暗黙か または制定法に定められているかを問わ ず このドキュメントの情報についてマイクロソフトはいかなる責任も負いません こ

NOSiDEパンフレット

4. 環境要件 WebWrapper および WebWrapper 管理サーバ <Windows 版 > Windows2000Server ( サービスパック 3 また 4 適用済 ), Windows Server 2003 <Solaris 版 > SPARC CPU を搭載する Sun 製ワ

金融工学ガイダンス

3. 導入手順 通常通り ESTRA-Web を起動し ログインしてください 自動アップデートの処理が開始されますが ご使用の PC の状態により その他のアップデート作業が必要になる場合があります (1).Net Framework Ver 以前の物が導入されている PC の場合以前

2. 動的コンテンツとは動的コンテンツとは Web ブラウザからの要求に応じて動的に Web ページや画像などを生成する Web コンテンツのことをいいます Web で利用するサーチエンジンやアクセスカウンタ等は この仕組みを用いています 動的コンテンツは大きく次の二つに分類されます (1) Web

Transcription:

SQL インジェクション ワームに関する現状と推奨する対策案 - 新たな脆弱性と攻撃の巧妙化についての報告 - 2008/5/29 診断ビジネス部辻伸弘松田和之 前回 5 月 21 日付けのレポートで報告した SQL インジェクション ワームに関する現状と推奨する対策案 に加え 新たに利用される脆弱性が確認されましたので ご報告いたします 状況 誘導先サイトが攻撃に利用する脆弱性に 新たに Adobe Flash Player の脆弱性が利用されることが確認されました 不正な SWF ファイル (Flash ムービーファイル ) に攻撃コードを埋め込むことで悪意のあるプログラムをダウンロード 実行させます 以下は 誘導先サイトに設置されている不正な SWF ファイルの内部の文字列を抽出したものを示しています 脆弱性が利用された場合 悪意あるプログラムのダウンロードが行われます ( 赤枠が示す URL) 不正な SWF ファイルの内部から文字列を抽出 さらに 誘導先サイトでは 難読化 ( ) されたスクリプト (JavaScript VBScript) が利用されていることが確認されております 難読化されたスクリプトが埋め込まれた新たなサイトへ誘導する SQL インジェクション ワームも確認されており 引き続き注意が必要です ( ) 難読化とは コードの圧縮 変数名の省略 文字コードの変換等を行うことにより コードを読みづらくする手法です IDS やウイルス対策ソフトは パターンマッチによる不正な通信やファイルを検知する機能が実装されています 難読化は これらセキュリティ対策ソフトのパターンマッチを回避するという目的で使用されます

以下は 実際に誘導先サイトで利用されている難読化されたコードを示しています 難読化されたコードは ASCII コードで符号化されていたため 復号を試みました (1) 復号後のコードは さらに 16 進数で符号化されていることが確認されました そのため 16 進数の復号を行っています (2) 以下は 2 段階の文字コード変換により 難読化したコードを復号した例です 難読化されたコードは RealPlayer の脆弱性を利用したものです 実際の難読化コード (RealPlayer の脆弱性 ) 1 ASCII コードで難読化された部分を復号する 2 16 進数で難読化された部分を復号する このように 新たな脆弱性が利用されるとともに 悪意のあるサイトへの誘導方法 攻撃方法が巧妙化しており 被害が拡大する傾向にあると判断できます 以下は 文字列 nttdata-sec.co.jp を前述した方法で難読化を施した例です 難読化の例 1 16 進数へ符号化する 2 ASCII コードへ符号化する Adobe Flash Player の脆弱性を利用した誘導先サイトのリストが Shadowserver Foundation にて公開されております このリストに記載されているサイトをプロキシやネットワーク機器等でアクセス制限を行うことが ユーザが悪意あるサイトへ誘導されることへの暫定的対策の一つとして挙げられます Shadowserver Foundation - Calendar - 2008-05-27 http://www.shadowserver.org/wiki/pmwiki.php?n=calendar.20080527 上記で公開されているリストのサイトへは決してアクセスしないでください また 前回 (5 月 21 日 ) 示したリストのサイトでも今回の Adobe Flash Player の脆弱性を利用した攻撃が行われていることも確認されています そのため 前回示したリストも併せてアクセス制限を行うことが推奨されます 影響を受けるとされている製品 Adobe Flash Player 9.0.115.0 以前 Adobe Flash Player 8.0.39.0 以前

対策案 <サーバ> 前回のレポートで推奨している通りです <クライアント> Adobe 社から修正されたバージョン Adobe Flash Player 9.0.124.0 8.0.42.0 を適用することを推奨いたします 以下の URL から 現在 お使いの Adobe Flash Player のバージョンを確認することができます Adobe Flash Player のバージョンテスト http://www.adobe.com/jp/support/flash player/ts/documents/tn_15507.htm 影響を受けるとされている製品 及び 対策案 は Adobe 社からの情報によるものです 参考 Adobe Flash Player ダウンロードセンター http://www.adobe.com/go/getflash Flash Player のセキュリティ脆弱性に対処するためのアップデート公開 http://www.adobe.com/jp/support/security/bulletins/apsb08-11.html * 各規格名 会社名 団体名は 各社の商標または登録商標です 前回までの SQL インジェクション ワームに関する現状と推奨する対策案 は下記をご参照ください 状況 SQL インジェクション ワームは 現在 新たに中国や台湾 香港 シンガポールの Web サイトを狙った攻撃へと拡大しています SQL インジェクション攻撃により改ざんされた Web サイトにアクセスし別サイトに誘導された場合 中国語の各種ソフトの脆弱性 MS Data Access Component の脆弱性 (CVE-2006-0003)(MS06-014) が利用されることも報告されています このように 今回弊社で確認したもの以外の新たな脆弱性も利用されており 被害が拡大する傾向にあると判断できます 誘導先サイトのリストが Shadowserver Foundation にて公開されております このリストに記載されているサイトをプロキシやネットワーク機器等でアクセス制限を行うことが ユーザが悪意あるサイトへ誘導されることへの暫定的対策の一つとして挙げられます Shadowserver Foundation - Calendar - 2008-05-14 http://www.shadowserver.org/wiki/pmwiki.php?n=calendar.20080514 上記で公開されているリストのサイトへは決してアクセスしないでください 公開されている約 70 サイト中 5 月 21 日現在 活動が確認できたのは約 30 サイトでした これらの活動が確認されたサイト数は 現時点 (5 月 21 日時点 ) のものであり 今後 停止中サイトの活動再開 または 悪意ある誘導先サイトの新設により 増加する可能性がありますので 引き続き注意が必要です 活動の確認は Web サーバが稼動しているかのみの確認で行っています なお 公開されているリストのサイトへは決してアクセスしないでください 対策案 誘導先サイトへの踏み台にされないよう サーバ上の Web アプリケーションに SQL インジェクションの脆弱性が存在するかどうかを確認し 存在する場合はプログラムを改修されることを推奨いたします また 改ざんされた Web サイトにアクセスした結果 誘導先のサイトで攻撃にあい ワームに感染することを防ぐため 今一度 管理ネットワーク上のクライアントコンピュータに対しても 修正プログラムの適用状況を確認し 適用されていない場合は 早急に対処されることを推奨いたします

概要と検証についての詳細は 下記 ( 前々回レポート ) をご参照ください 概要 SQL インジェクション攻撃を用いて Web サイトを改ざんするワームが発見されました ワームの仕様としては Web サイトに対して SQL インジェクション攻撃を行います 攻撃に成功すると Web ページを改ざんし 悪意のあるユーザが設置した別サイトへ誘導するスクリプト ( 文字列 ) を埋め込みます ユーザが 改ざんされた Web サイトにアクセスすると 別サイトに仕掛けられたプログラムにより脆弱性を利用した攻撃が行われます その結果不正なプログラムをダウンロード 実行され ユーザのコンピュータが汚染されてしまいます ユーザのコンピュータがその攻撃に対して脆弱である場合 Web サイトにアクセスするだけで システムの乗っ取りなどが行われる可能性があります ( 被害イメージ 参照 ) 今回 誘導先のサイトに存在するプログラムが利用する脆弱性についての調査を行いました 被害イメージ 1Web ページへアクセス ユーザ 2 攻撃者が用意したサイトへ誘導する 3 アクセスが誘導される 改ざんされた Web サーバ 4 脆弱性を利用した攻撃コードを含むコンテンツが送られる 5 脆弱性を利用され 自動で悪意のあるプログラムのダウンロード要求を出す 悪意あるユーザが用意した誘導先サイト 6 悪意のあるプログラムがダウンロードされる 7 悪意のあるプログラムが実行される 調査イメージ ユーザ 改ざんされた Web サーバ IDS 悪意あるユーザが用意した誘導先サイト

調査概要 ユーザは ワームによって改ざんされた Web サイトへアクセスすると 別サイトに誘導されます 今回の調査では 誘導先のサイトに存在するプログラムが利用する脆弱性についての調査を行いました 利用される脆弱性の確認は IDS( 侵入検知システム ) を設置することにより実施しました ( 調査イメージ 参照) 調査結果 今回の調査の結果 誘導先のサイトに存在するプログラムが利用する脆弱性は以下のとおりでした 誘導先のサイトがすでに存在しないなどの関係上 以下に示す脆弱性は 今回確認された脆弱性の一覧となります RealPlayer rmoc3260.dll ActiveX Control の脆弱性 (CVE-2008-1309) http://cve.mitre.org/cgi-bin/cvename.cgi?name=cve-2008-1309 QuickTime の RTSP URL 処理の脆弱性 (CVE-2007-0015) h ttp://cve.mitre.org/cgi-bin/cvename.cgi?name=cve-2007-0015 Windows のアニメーションカーソルの脆弱性 (CVE-2007-0038) http://cve.mitre.org/cgi-bin/cvename.cgi?name=cve-2007-0038 下図は IDS によって検知した脆弱性の通信内容を抜粋したものを示しています 赤線で囲まれた部分は IDS で検知した不正な文字列を示しています RealPlayer rmoc3260.dll ActiveX Control の脆弱性を利用した通信内容の一部 QuickTime の RTSP URL 処理の脆弱性を利用した通信内容の一部

アニメーションカーソル処理の脆弱性を利用した通信内容の一部 対策案 今回の調査で確認された 3 種類の脆弱性の内容と対策方法は以下のとおりです 脆弱性内容 RealPlayer rmoc3260.dll ActiveX Control の脆弱性 (CVE-2008-1309) QuickTime の RTSP URL 処理の脆弱性 (CVE-2007-0015) Windows のアニメーションカーソルの脆弱性 (CVE-2007-0038) 対策方法 RealPlayer 11.0.2 以降へアップデートする QuickTime 7.1.3.191 以降へアップデートする MS07-017 を適用する 充分な検証の後 運用に支障をきたさないことをご確認の上 各修正プログラムの運用を行ってください * 各規格名 会社名 団体名は 各社の商標または登録商標です お問合せ先 NTT データ セキュリティ株式会社営業企画部 TEL:03-5425-1954 http://www.nttdata-sec.co.jp/

2024 © docsplayer.net プライバシー | 利用規約 | フィードバック