社内向けに書いた文書ですが、Webサーバーを扱っている方はご注意を。
セキュリティ企業のLACが新手のSQLインジェクション攻撃に警戒を呼びかけている
。
詳細は
http://www.lac.co.jp/news/press20081002.html
を参照のこと。
従来のSQLインジェクション攻撃は、SQL文を悪用してデータベースを改ざんする方
法だったが、今度の攻撃は、Cookieを利用するため、サーバーに痕跡が記録されな
い可能性が高い。
また、一部のIDS/IPS(不正進入検知・防御システム)やWAF(Web Application
Firewall)では検知されないことも明らかになっている。
Webサイト管理者が現段階で行うことは
１．IISを利用している場合には、ログ収集項目にCookieを追加してください。デ
フォルトでは収集されない項目になっています。
　参考：http://www.microsoft.com/technet/prodtechnol/WindowsServer2003/Library/IIS/676400bc-8969-4aa7-851a-9319490a9bbb.mspx?mfr=true
２．念のため、ログを解析し、次のIPアドレスからのアクセスが発生していないか
確認してください
　「61.152.246.157」「211.144.133.161」「211.154.163.43」
３．データベースに「drmyy.cn」のリンクが埋め込まれていないことを確認してく
ださい。
４．ファイヤーウォールで、問題となっているIPアドレスからのアクセスをブロッ
クする。
５．フィルタリングソフトを使っている場合には、「drmyy.cn」への接続をブロッ
クしてください。
６．Webサーバー自体でも問題となっているIPアドレスからの接続を拒否する設定
を行ってください。
以上です。
なお、イントラネット向けのシステムを扱う私たちは現段階で、
１．IISを利用している場合には、ログ収集項目にCookieを追加してください。デ
フォルトでは収集されない項目になっています。
　参考：
http://www.microsoft.com/technet/prodtechnol/WindowsServer2003/Library/IIS/676400bc-8969-4aa7-851a-9319490a9bbb.mspx?mfr=true
２．念のため、ログを解析し、次のIPアドレスからのアクセスが発生していないか
確認してください
　「61.152.246.157」「211.144.133.161」「211.154.163.43」
３．データベースに「drmyy.cn」のリンクが埋め込まれていないことを確認してく
ださい。
までを調査することを推奨します。
１．については、現在の攻撃に対する防御というよりも、これからもこの手法を使
った攻撃が発生すると予想されるので、それに対する防衛措置です。
２．と３．は、現段階で改ざん被害や、他のユーザーへの被害が起こらないために
調査することを目的としています。