アカマイ・テクノロジーズは1月14日、同社のThreat Research部門がSQLインジェクションによってWebサイトを攻撃し、SEO(検索エンジン最適化)に影響を与えるキャンペーンを確認したとして、注意喚起を行った。
同社は、2015年第3四半期に、2週間にわたって3800件以上のWebサイトへ攻撃を行った348のユニークIPアドレスを観測し、キャンペーンを確認したという。
大規模改ざん
調査によると、キャンペーンで利用されたHTMLリンクをWeb検索したところ、これらの悪質なリンクを含む数百のWebアプリケーションが見つかったとのことだ。
その後、「cheat(不正)」や「story」といった一般的な単語の組み合わせを検索。主要検索エンジンの1ページ目に「cheating stories」アプリケーションが表示されるようになっていた。さらに、ページランクなどの集計を行う「Alexa」の分析で、cheating storiesアプリケーションのランクが3カ月で大幅な上昇を見せていたことがわかった。
一般的に検索エンジンは、特定のアルゴリズムを使用してページランクやWebサイトに対するインデックスを決定し、そのWebアプリケーションを支持するリンク数や評価がランキングに影響を与える。これが、攻撃によってランキングが操作できることになれば、「攻撃者にとって魅力的な提案であり、ビジネスだ」と、セキュリティビジネス部門 シニア・バイスプレジデント 兼 ゼネラル・マネージャーのスチュアート・スコリー氏がコメントしている。
ランキングの操作は、一見「ページランクの上昇でPVが見込める」と思うかもしれないが、SQLインジェクションによって挿入されたリンクやキーワードが悪質なものであるため、訪問者に誤解を与えたり、最悪の場合にはマルウェアに感染したりといった結果を生むケースもある。
アカマイはこうした攻撃への対応策として、Web開発者・セキュリティ担当者向けに以下の4点の対策を行うように勧めている。
バックエンド・データベースへのクエリの中で使用する、すべてのユーザー入力データに対して、適切な入力検証チェックが実装済みであることを確認
ユーザーの入力データに基づいてSQLクエリを作成する場合は、パラメータのみ入力可能な事前に用意されたステートメントのみを使用
SQLインジェクション攻撃をブロックするWAF(Web Application Firewall)を用意
被参照リンクの増加などの大きな変化を識別するため、HTMLレスポンス本文フォーマットのプロファイリングと監視