2008年05月21日

SQLインジェクションで国内実被害




国内ネット通販の会社がSQLインジェクションによって、顧客のクレジット情報を盗まれるという事件があったそうです。

該当会社発表の状況説明から、社名を伏せて引用します。
この度、弊社運営ショッピングサイト「○●」「××」が中国から今年1月、3月に不正アクセスを受け、過去に「○●」「××」をご利用になったお客様のクレジットカード番号と有効期限の組みあわせが一部流出した可能性が高いことが判明いたしました。漏洩内容は名前、住所、ログインパスワード、メールアドレス、電話番号、カード番号、有効期限です。弊社は「お客様の被害を最小にする為にカード漏えいの可能性のある方全員」に5月20日メールにてお知らせをお送りしました。又、お客様の被害を最小限にする為に出来るだけ多くのお客様に伝えるために、同日マスメディアにも全面公表しました。

との事です。

敢えて、上記のような公表をしているという点で、尊敬しますが、それにしても、SQLインジェクションや中国からのスパム攻撃については、止まるところを知らず、迷惑を通り越しています。

当店では、以前に決済方法からオンラインクレジット精算を廃止し、ヤマトコレクトサービスを使用する事によって、配送時の代引精算およびクレジット精算もしくは事前振込という形にさせて頂いています。
そのため、クレジット関連の情報のデータを所持しない為に、万が一攻撃を受けても実害までには至らないのですが、この事は対岸の火事ではなく、データベースを使用しながら、中規模以上のサイト運営を行っている人であれば、私も含めて同様の危機感を抱いていると思います。

上記の会社については、利用者のカードが、「オンラインゲームで不正に利用された被害もおよそ150件確認されました」との事。また、被害者は「流出したインターネット通販のパスワードとクレジットカードのパスワードを同じ設定にしていた利用者に集中している」との事です。(TBSニュースより

オンラインゲームっていうのが、何となく犯人像を想像させる気がしてしまいますが。

以前のエントリでSQLインジェクションを調べるツールというのを書いたのですが、もっと簡単なものとしては、ShadowServer.comより、リストが公表されており、これらのドメインと自サイトのドメインのand検索をかける、もしくは自サイトの全文検索で確認するなどして、具体的にインジェクションの被害にあっているかどうかの確認が可能です。
このうちの一つをYahoo Japanで検索すると「約752件のヒット」、Googleで検索すると「日本語のページでも約 125 件」のヒットがあり、これらのサイトは既にSQLインジェクションを受けて、クロール時に有害サイトへのリンクを貼られてしまっているという事になります。

それぞれのドメインについて、管理団体はきちんとした対応と責任をとってもらわないと困りますね。

下記にMay 14, 2008時点のリストを転記しておきます。
Full list of Injected Sites
  • www.nihaorr1.com 468,000
  • free.hostpinoy.info 444,000
  • xprmn4u.info 369,000
  • www.nmidahena.com 140,000
  • winzipices.cn 75,000
  • sb.5252.ws 69,000
  • www.aspder.com 62,000
  • www.11910.net 47,000
  • bbs.jueduizuan.com 44,000
  • www.bluell.cn 44,000
  • www.2117966.net 39,000
  • s.see9.us 39,000
  • xvgaoke.cn 33,000
  • 1.hao929.cn 20,000
  • www.414151.com 17,000
  • yl18.net 15,000
  • www.kisswow.com.cn 13,000
  • urkb.net 13,000
  • c.uc8010.com 9500
  • rnmb.net 7000
  • www.ririwow.cn 6000
  • www.killwow1.cn 4000
  • www.qiqigm.com 3600
  • www.wowgm1.cn 3500
  • www.wowyeye.cn 2800
  • 9i5t.cn 2500
  • computershello.cn 2300
  • www.z008.net 1600
  • b15.3322.org 1200
  • www.direct84.com 1100
  • www.caocaowow.cn 900
  • www.qiuxuegm.com 800
  • firestnamestea.cn 700
  • %61%2E%6B%61%34%37%2E%75%73 (a.ka47.us) 600
  • %61%31%38%38%2E%77%73 (a188.ws) 500
  • www.qiqi111.cn 230
  • www.banner82.com 90
  • smeisp.cn 85
  • okey123.cn 55
  • www.nihao112.com 45
  • al.99.vc 45
  • www.chliyi.com 40
  • free.edivid.info 40
  • 52-o.cn 40
  • www.fucksb.net 40
  • www60.actualization.cn 40
  • d39.6600.org 40
  • h28.8800.org 34
  • ucmal.com 30
  • t.uc8010.com 30
  • www.dota11.cn 25
  • bc0.cn 20
  • %33%2E%74%72%6F%6A%61%6E%38%2E%63%6F%6D (3.trojan8.com) 20
  • www.adword71.com 17
  • w11.6600.org 13
  • usuc.us 13
  • www.msshamof.com 10
  • newasp.com.cn 7
  • www.wowgm2.cn 8
  • mm.jsjwh.com.cn 8
  • 17ge.cn 4
  • www.adword72.com 2
  • www.117275.cn 1
  • vb008.cn ?
  • www.wow112.cn ?
  • www.nihaoel3.com ?
posted by 古着オヤジ at 22:08 | Comment(0) | TrackBack(0) | 更新・システム関連 このエントリーを含むはてなブックマーク