水無月ばけらのえび日記

件数の推移

• 2000年くらいには攻撃の理論
• 2003年、JSOCで初検知。当時は何故こんな面倒な攻撃を行うのか分からなかった (二階の窓をやらなくても玄関が開いている状態)
• 2005年、ニュースに
• 2008年10月、26万件
• 2008年12月、1500万件

撃たれない企業には来ない。過去にやられた企業や、IISを使っている企業には良く来る。その差100～1000倍ほど。

今年の年末は非常に多く、詳細レポートを出すような契約でレポートが2000～3000ページにわたり、印字に15時間というケースも。

攻撃リクエストの変遷

• 2007年 …… ntext のみにスクリプトを埋め込む
• 2008年 …… varchar, sysname, text, ntextが対象
• 最近の攻撃
  • "></title> が頭につくようになって効率UP! 属性値やtitle要素内にインジェクションされても動作する
  • 既にやられているかどうかチェックする (しないと、増殖して行く)
  • マルチバイト文字を含むリクエスト
  • Cookieへのインジェクション → WAF貫通力大。インテリジェンスでない機器では検出された。:-)
  • 冗長な % を含むインジェクション → ほとんどの機器を貫通。

攻撃元

McColo がインターネットから遮断される→スパムが減った? 日本においてはあまり影響なかったかも

• 中国→韓国にシフトしている
• 12/10 IE7 のゼロデイ攻撃コード出現、12/14からSQLインジェクション大幅増加、12/18 IE7 のパッチりリース
• 浅田真央がキムヨナに勝ったのが原因?

謎の文字列

謎の符号化された文字列を埋め込む攻撃

昔から韓国方面で報告。解読はされていなかった。最近日本人が解読。

この攻撃は、中国政府・中国教育機関のドメインは攻撃しないようになっている模様。

XSS

送信元は国内が中心。大規模では行われていない

UTF-7 XSS やる人なんてまずいません。なのですぐ分かる。

わざわざXSSで攻撃する人はほとんどいない (面倒、もっと簡単な方法がある)。

MySQLの攻撃

特定のファイルを削除したりする攻撃、攻撃にはフルパスが必要→どこから取得している?

MySQLのエラーメッセージにフルパスが出ている

Moodleの脆弱性

オープンソースのeラーニングプラットフォーム。SQLインジェクションの脆弱性があった。

「使用ユーザー一覧」からたどって攻撃された形跡がある。一覧に載っていたところは全員攻撃を撃たれていると思って良い