セキュリティ企業のラックは2008年8月20日、インターネットにおける攻撃の現状などをまとめたレポートを発表した。それによると、2008年6月以降、ボットを使って一般ユーザーのパソコンを乗っ取り、脆弱(ぜいじゃく)なWebサイトへSQLインジェクション攻撃を仕掛けるケースが急増しているという。

 SQLインジェクション攻撃によってWebページを改ざんし、ウイルス(マルウエア)を感染させる罠(わな)を挿入する攻撃が後を絶たない。罠には、WindowsやFlash Playerといった、広く使われているソフトウエアの脆弱性を突く仕掛けが施されている。

 このため脆弱性のあるパソコンでは、改ざんページにアクセスするだけでウイルスに感染。感染したウイルスの多くは、パソコンに保存されている情報やユーザーがキー入力した情報を盗み、攻撃者に送信する。

 ラックの調査によれば、国内サイトへのSQLインジェクション攻撃は2種類。1つは、攻撃者が対象サイトへ直接攻撃を仕掛けてページを改ざんするもの。このケースでは、攻撃元は中国のISPが管理するIPアドレスからがほとんどだという。

 また、ソフトウエアの脆弱性を突く仕掛けは、中国製と見られるツールで作成されているという(図1)。ツールの利用料は、「標準版」が1カ月で400人民元(およそ6350円)。

 もう1つは、一般ユーザーのパソコンに感染させたボットを使うもの(図2)。ボットは、Googleのような検索サイトを使って、攻撃対象のWebサイトを探索。脆弱性のありそうなWebサイトを見つけると、SQLインジェクション攻撃を実行。攻撃に“成功”すると、前述のようなウイルスの罠を仕込む。

 国内サイトへのSQLインジェクション攻撃は2008年3月ごろから急増しているが、この「SQLインジェクションボット」による攻撃は、2008年6月ごろから増えているという。攻撃の際に送信されるデータには若干の違いが見られることから、SQLインジェクションボットは1種類ではなく、亜種が複数存在すると推測できるとしている。