【独自調査レポート】サイバー攻撃検知レポート　～ロシアからの攻撃も加わりSQLインジェクション攻撃が期間平均の3倍に〜

株式会社サイバーセキュリティクラウドは、昨今のサイバー攻撃情勢を承けて、2022年8月1日〜9月8日を対象としたWebアプリケーションへのサイバー攻撃検知レポートを発表しました。

尚、サイバー攻撃検知レポートのデータは当社が提供するWebアプリケーションへのサイバー攻撃を可視化・遮断するクラウド型WAFの『攻撃遮断くん』、及びパブリッククラウドWAFの自動運用サービス『WafCharm（ワフチャーム）』で観測したサイバー攻撃ログを集約し、分析・算出しています。

・調査対象期間：2022年8月1日〜2022年9月8日
・調査対象：『攻撃遮断くん』『WafCharm』をご利用中のユーザアカウント
・調査方法：『攻撃遮断くん』『WafCharm』で観測したサイバー攻撃ログの分析

昨今、日本企業において、ロシアを支持するサイバー攻撃集団「キルネット」による「DDoS攻撃」被害が相次いでいます。
DDoS攻撃とは、攻撃の対象となるWebサイトやサーバに対して複数のコンピュータ等から過剰なアクセスやデータ通信を送信するサイバー攻撃です。

DDoS攻撃を受けることで通信のトラフィックが増大し、サーバに過剰な負荷がかかるため、サーバやWebサイトにアクセス出来なくなる等のサービス停止を引き起こします。
キルネットは日本国政府に向けて宣戦布告もしており、デジタル庁からも「当面は攻撃が続く可能性がある」と懸念されています。

また本件との関連性は不明ですが、当社の検知ログ上で9月4日にSQLインジェクション攻撃が急激に増加していることが当社の調査で明らかになりました。
SQLインジェクション攻撃とは、Webアプリケーションの脆弱性を利用してデータベースを不正に操作する攻撃です。これはSQLという「データベースを操作する言語」を用い、脆弱性のあるWebアプリケーション上の入力フォームなどに「不正な操作を行うためのSQL文」を意図的に「注入（インジェクション）」することで、データの窃取や消去、改ざん等を行うものです。

2022年8月1日から9月8日までの39日間に当社で検知したWebアプリケーションへのサイバー攻撃の総数は10,473,048件でした。これは1分間に186件以上のサイバー攻撃を検知したこととなります。

特筆すべきはSQLインジェクションについて、対象期間の平均と比較して9月4日に約3倍となっている点です。また、調査期間においては、9月4日のみロシアからのSQLインジェクション攻撃が観測されており、凡そ29％を占めておりました。

脆弱性を持つWebサイトやECサイト等が実際にSQLインジェクション攻撃を受けると、アカウントやクレジットカード情報の漏洩、不正サイトへの誘導やウイルス感染を目的としたWebサイト改ざんなどの被害が発生します。

SQLインジェクションの攻撃内容に着目すると「難読化」されたSQLインジェクション攻撃が増えていることが分かります。その割合について、通常時は約5％程度ですが、9月4日は約70%と突出して増えています。

「難読化」とは、コンピュータプログラムの動作を変えずにプログラムを意図的に改変・加工して、人間視点での可読性を著しく下げ解析しづらくする技術です。

本来はプログラムやアルゴリズムの改ざんやリバースエンジニアリング、盗用等を防ぐために用いられる技術ですが、ここでは恐らく攻撃の検知や解析などを遅らせる目的を持つと思われます。

直近、日本国内では6月にSQLインジェクションによって、大規模な個人情報漏洩事案も発生しました。かなり以前から用いられている攻撃であり、情報処理推進機構（IPA）『安全なウェブサイトの作り方』第一章の1.1に記載され、且つ別冊として『安全なSQLの呼び出し方』も発行されるほどです。

セキュリティ実装の実施状況を確認するためのチェックリストも付属していますので、基本的なWebアプリケーションの脆弱性対応は必ず実施することを推奨します。