SHOEISHA iD

パスワードを忘れた場合はこちら

※旧SEメンバーシップ会員の方は、同じ登録情報(メールアドレス&パスワード)でログインいただけます

  • 新規
    会員登録
  • 新規会員登録

ニュース

記事

Security Online

DB Online

イベント

講座

特集

ブログ

新着記事一覧を見る

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

直近開催のイベントはこちら!

EnterpriseZine編集部ではイベントを随時開催しております

EnterpriseZine編集部ではイベントを随時開催しております

イベント一覧はコチラから

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けの講座「EnterpriseZine Academy」や、すべてのITパーソンに向けた「新エバンジェリスト養成講座」などの講座を企画しています。EnterpriseZine編集部ならではの切り口・企画・講師セレクトで、明日を担うIT人材の育成をミッションに展開しております。

お申し込み受付中!

紛争事例から学ぶ! 実践ベンダーコントロール習得講座

講座一覧はコチラから

EnterpriseZineニュース

Imperva、AccellionへのSQLインジェクション攻撃の分析結果を公開

 米現地時間3月9日、Impervaは、2020年末に起きたAccellionに対する2段階SQLインジェクション攻撃に関する分析結果を公開した。

攻撃の時系列

 2020年12月、攻撃者はAccellionのファイル転送アプライアンス(FTA)テクノロジーに存在していた単一のゼロデイ脆弱性を悪用し、顧客データ、クレジットカード情報、生年月日やメールアドレスなどの個人情報を盗み、脅迫に活用。不正アクセス後の分析によると、攻撃者はコンテンツ・ファイアウォール内でSQLインジェクション(CVE-2021-27101)とOSコマンド実行(CVE-2021-27104)の脆弱性を使用している。また、ファイル「document_root.html」に対するSQLインジェクション脆弱性を悪用し、AccellionのFTAデータベースから「W」鍵を取得していたという。

 Accellionは問題発覚から72時間以内に、脆弱性の軽減パッチを発行。しかし、攻撃者はその後侵入ポイントを変更し、サーバーサイド・リクエスト・フォージェリ(SSRF)(CVE-2021-27103)とOSコマンド実行(CVE-2021-27102)を使った新たな手法を利用した。攻撃者はまず、コンテンツ・ファイアウォール内の脆弱性を標的とし、次に顧客データが格納されたデータベースを標的にするという2段階のアプローチを展開している。

Accellionに対する攻撃手法は、今後も拡大する見通し

 昨今のサイバー攻撃は、資金が潤沢にあり、多くの場合、国家主導で行われているという。そのため、攻撃者は標的となる企業のソフトウェアの仕組みを学ぶためのリソースをもっている。また、攻撃者は自らの能力を向上させ、より高度な攻撃を仕掛けるため、常にセキュリティや脆弱性のトレンドを把握するよう努めているとしている。そしてROI(投資対効果)を最大化するため、攻撃者はAccellionのファイル転送アプライアンスのような、多数の顧客に広く利用・信頼されている企業を標的に選ぶという。

 2020年のSolarWindsへの不正アクセス事件と同様に、攻撃者は脆弱性を悪用して標的のシステムに不正アクセス。さらにクリーンアップ・ルーチンを実行することで、活動の証拠を隠滅している。Accellionへの攻撃では、標的のソフトウェア・リバースエンジニアリングを通じて、コンテンツ・ファイアウォールへの不正アクセス手段が特定。Accellionがパスを閉鎖した時には、攻撃者は既にデータベース自体への攻撃を計画していたという。セキュアなファイル転送を専門とする企業を攻撃するのは大胆な一方で、Accellionの顧客企業は、まさに攻撃者の渇望するようなデータを取り扱っている可能性が非常に高くなっている。攻撃者は人質に取ったデータを用いて脅迫を行っており、影響は世界中で今後何ヵ月続くと予想されている。

最適なデータセキュリティ体制を構築し、新種の攻撃を阻止

 Accellionへの不正アクセスは、SQLインジェクション攻撃から始まっている。これは、データ層での脅威分析と検知が必要であることを明示しているとしている。すべてのアプリケーションに共通しているものとしてデータリポジトリ層が挙げられるという。いかなるアプリケーションやシステムでも、必ずどこかにデータを保存しており、大半はデータベースを使用している。また、モダンなアーキテクチャ環境では、技術的にはDBMSではなくても、データベースに分類すべき要素を多数取り扱っているものも多く存在しているといい、ほとんどの攻撃は、データ層に注目するだけで発見できるという。

 SQLインジェクション攻撃の持続性、一貫性、頻度を考えると、データ層のセキュリティ保護に対する企業の関心は、いまだ不十分。機械学習モデルを駆使し、不適切・高リスク・悪意のあるデータアクセスの行動分析や自動検知を行い、データレベルで監視することで、SolarWindsのケースやAccellionへの不正アクセスのような攻撃は事前に特定できるとしている。

 さらに、Accellionへの不正アクセスから得られる教訓として、企業はデータに至るすべてのパスを保護する必要があるという。コンテンツ・ファイアウォールの保護に失敗した場合、内部保護策を導入し、攻撃を阻止する必要がある。Accellionのケースでは、最初の不正アクセス発生後、修正された部分は一部に限定されていたとし、OSコマンドが実行できるようになるまで、攻撃で変更されたのは侵入ポイントだけだったという。

 そこから先の攻撃についても、最初のパターンを踏襲しており、攻撃者は別の第一歩を見つけるだけだったとしている。このことから、企業にとって重要なのは、すべてのアクセスポイントのセキュリティを、当然のものとして保護することだという。

【関連記事】
SNSでのつぶやきと攻撃に相関関係【Imperva 脆弱性に関する調査】
ネットワークバリューコンポネンツ、Imperva社のクラウドWAF「Incapsula」に対する運用支援サービスを提供開始
米Imperva、ビッグデータ対応を強化したデータセキュリティソリューションの最新版

この記事は参考になりましたか?

  • Facebook
  • Twitter
  • Pocket
  • note
関連リンク
この記事の著者

EnterpriseZine編集部(エンタープライズジン ヘンシュウブ)

「EnterpriseZine」(エンタープライズジン)は、翔泳社が運営する企業のIT活用とビジネス成長を支援するITリーダー向け専門メディアです。データテクノロジー/情報セキュリティの最新動向を中心に、企業ITに関する多様な情報をお届けしています。

※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です

この著者の最近の執筆記事

この記事は参考になりましたか?

この記事をシェア

EnterpriseZine(エンタープライズジン)
https://enterprisezine.jp/news/detail/14151 2021/03/24 15:19

Job Board

AD

おすすめ

アクセスランキング

アクセスランキング

  1. 1
    加賀市が起こした「消滅可能性都市」からの逆転劇、なぜ“IT先進地域”になれたのか 震災で変化も
  2. 2
    「SP800-171対応は防衛産業だけの課題ではない」 EY西尾氏が説く最新動向と今すぐできる対策 NEW
  3. 3
    人気資格ランキングの常連「AWS SAA」の保有メリットとは──合格に向けた3つのポイント NEW
  4. 4
    取引先など組織のセキュリティを5段階で評価、スコアAとFではサイバー侵害の可能性は最大13倍以上 NEW
  5. 5
    企業独自の生成AI活用は「RAG」が高いハードルに、Oracleが狙う“一元化”は金の鉱脈になるか
  6. 6
    防衛装備庁が参考にしたことで注目高まる「NIST SP800-171」 企業が倣う際に着目すべき要点
  7. 7
    日清食品HDの情シスに15年ぶりの新卒!CIO成田氏が滋賀大・河本ゼミ出身のルーキーに熱い期待寄せる
  8. 8
    SAP移行問題の要点と留意点をガートナーに聞く──「SAP 2027年問題」はどこまで解決したのか?
  9. 9
    大和ハウス工業がBIM導入率100%の先に描く“建設の民主化”「まだDXの“氷山の一角”に過ぎない」
  10. 10
    20年以上使い込んだ基幹システム脱却でライオンの変革の土台整う 「ずっとやりたかった」ことに挑戦へ
  1. 1
    サイバーエージェントが生成AI活用で「6割の業務削減」を宣言 独自開発中の「AIナスカ」が一翼を担う
  2. 2
    塩野義製薬のデータサイエンス戦略と実践──データ駆動で目指すヘルスケアの未来
  3. 3
    大和ハウス工業がBIM導入率100%の先に描く“建設の民主化”「まだDXの“氷山の一角”に過ぎない」
  4. 4
    生成AIの爆発的な注目を経て「PoC実施中」が最多か KyndrylのAIリーダーが動向を分析
  5. 5
    2024年の「生成AI」活用の成否は“検索”にあり キーワードは検索エンジン×生成AI
  6. 6
    選考委員と読み解く『情報セキュリティ10大脅威 2024』CIO/CISOが意識すべきポイントとは
  7. 7
    変革のためには“良い土壌”を整えることから──J.フロント リテイリング野村氏が奮闘した2年の成果
  8. 8
    「工場セキュリティ」強化に立ち上がる──資生堂を中心とした10社の実務者が“平時の訓練”を提言
  9. 9
    認証の問題はIDaaSだけでは解決しない? コロナ禍を経た今、真に求められる“統合ID管理”とは
  10. 10
    「2年で生成AIを日常業務に浸透させる」 サッポログループが実践する“社員に使ってもらう”ための戦略

イベント

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

新規会員登録無料のご案内

  • ・全ての過去記事が閲覧できます
  • ・会員限定メルマガを受信できます

メールバックナンバー

アクセスランキング

アクセスランキング

  1. 1
    加賀市が起こした「消滅可能性都市」からの逆転劇、なぜ“IT先進地域”になれたのか 震災で変化も
  2. 2
    「SP800-171対応は防衛産業だけの課題ではない」 EY西尾氏が説く最新動向と今すぐできる対策 NEW
  3. 3
    人気資格ランキングの常連「AWS SAA」の保有メリットとは──合格に向けた3つのポイント NEW
  4. 4
    取引先など組織のセキュリティを5段階で評価、スコアAとFではサイバー侵害の可能性は最大13倍以上 NEW
  5. 5
    企業独自の生成AI活用は「RAG」が高いハードルに、Oracleが狙う“一元化”は金の鉱脈になるか
  6. 6
    防衛装備庁が参考にしたことで注目高まる「NIST SP800-171」 企業が倣う際に着目すべき要点
  7. 7
    日清食品HDの情シスに15年ぶりの新卒!CIO成田氏が滋賀大・河本ゼミ出身のルーキーに熱い期待寄せる
  8. 8
    SAP移行問題の要点と留意点をガートナーに聞く──「SAP 2027年問題」はどこまで解決したのか?
  9. 9
    大和ハウス工業がBIM導入率100%の先に描く“建設の民主化”「まだDXの“氷山の一角”に過ぎない」
  10. 10
    20年以上使い込んだ基幹システム脱却でライオンの変革の土台整う 「ずっとやりたかった」ことに挑戦へ
  1. 1
    サイバーエージェントが生成AI活用で「6割の業務削減」を宣言 独自開発中の「AIナスカ」が一翼を担う
  2. 2
    塩野義製薬のデータサイエンス戦略と実践──データ駆動で目指すヘルスケアの未来
  3. 3
    大和ハウス工業がBIM導入率100%の先に描く“建設の民主化”「まだDXの“氷山の一角”に過ぎない」
  4. 4
    生成AIの爆発的な注目を経て「PoC実施中」が最多か KyndrylのAIリーダーが動向を分析
  5. 5
    2024年の「生成AI」活用の成否は“検索”にあり キーワードは検索エンジン×生成AI
  6. 6
    選考委員と読み解く『情報セキュリティ10大脅威 2024』CIO/CISOが意識すべきポイントとは
  7. 7
    変革のためには“良い土壌”を整えることから──J.フロント リテイリング野村氏が奮闘した2年の成果
  8. 8
    「工場セキュリティ」強化に立ち上がる──資生堂を中心とした10社の実務者が“平時の訓練”を提言
  9. 9
    認証の問題はIDaaSだけでは解決しない? コロナ禍を経た今、真に求められる“統合ID管理”とは
  10. 10
    「2年で生成AIを日常業務に浸透させる」 サッポログループが実践する“社員に使ってもらう”ための戦略