BusinessWeek.com が SQL インジェクション攻撃被害に

大手週刊誌サイト BusinessWeek.com が、SQL インジェクション攻撃に見舞われた。読者と業界リーダーの交流を図るソーシャル ネットワーク型サービス『Business Exchange』の正式運用を先週開始した矢先の出来事だ。

セキュリティ製品ベンダーの Sophos が該当の脆弱性を発見し、BusinessWeek に連絡した。

Sophos の上級技術コンサルタント Graham Cluley 氏は、自身の Blog のなかで、攻撃を仕掛けたクラッカーの狙いは、サイトの一部を利用する読者層にマルウェアを仕掛けることだったと述べている。

「BusinessWeek の Web サイト上にある、MBA 取得をめざす学生に就職情報を提供する多くのページが、SQL インジェクション攻撃の被害に遭った」と Cluley 氏は Blog 記事に記している。同氏は取材に対し、クラッカーが SQL インジェクション攻撃に傾倒しているのは、「ユーザーのパソコンを乗っ取りたいがため」と語り、「企業が Eメールの防御を固めつつあるので、パソコンに侵入する別の手段として、ブラウザを経由する形をとっている」と説明した。

SQL インジェクション攻撃は常套手段となっている手口で、Web サイト上の脆弱性を悪用し、サイトの基盤をなすデータベースに悪質コードを挿入する。BusinessWeek の場合、挿入コードによって、マルウェアをダウンロードしてしまいかねないロシアの Web サイトにユーザーを誘導するという仕掛けだった。

当の BusinessWeek は、具体的な対応について明らかにしておらず、悪意のあるアプリケーションを削除したと述べるにとどまっている。

BusinessWeek 広報担当の Patti Straus 氏は取材に対し、「オンライン セキュリティは最優先事項だ。この件に関する調査を継続しているが、読者の個人情報は危険にさらされていないと確信している」と述べた。Straus 氏によれば、今回の攻撃の影響を受けたのは、サイトの特定領域内にある単一のアプリケーションだけだという。

「今後も、当サイトの完全性を確実なものとし、悪質かつ違法なハッキング行為からサイトを守るべく取り組みを続けていく」と Strauss 氏は述べている。

一方 Sophos の Cluley 氏によれば、問題のリンクを削除するだけでは不十分だという。「悪意のあるリンクを削除するのは簡単だが、BusinessWeek はインフラを調査し、攻撃者がどのようにコードを仕掛けたのか解明しなくてはならない。そうしなければ、数時間のうちに、再び攻撃の被害に遭いかねない」