スパム送信に関する話題が多いMcColoですが、それ以外の活動はどうだったのでしょうか。私はMcColoのネットワークからの攻撃がJSOCのシステムに記録されているかを確認しました。2008年の1年間を調査したところ、疑わしいアクセスとしてはポートスキャンのみ検知しており、そのほかのSQLインジェクションやバッファオーバーフローなどのような攻撃は検知していませんでした。

2008年12月14日から急増したSQLインジェクションはいままでと比べものにならないほどの攻撃件数でした。1日で約30万件の攻撃を検知しており、多い日で120万件以上のSQLインジェクションを検知しました。11月までは月間26万件が最高の検知件数でしたが、わずか数時間でそれを上回るほどの攻撃が集中して行われました。

2008年12月は11月と比較して、約100倍に攻撃が増加しています。いままで注意喚起を出してきたものとは比べものにならない変化になっています。攻撃元IPアドレスは1日に5000以上にもなりました。世界中の5000台以上のボット感染パソコンが攻撃者によって悪用されているものと考えています。

ちょうど、12月10日ごろからInternet Explorerの未公開の脆弱性を狙った攻撃コードが出回っており、今回のSQLインジェクションで誘導される悪性サイトにもこの脆弱性を悪用する攻撃コードが仕込まれていました。攻撃者は修正プログラムがリリースされるまでのわずかな時期を狙って、攻撃を開始した可能性が高いのではと考えています。

攻撃の実に6割以上が韓国から行われており、

2008年前半は中国からの攻撃が大部分を占めていましたが、2008年夏ごろから攻撃元が世界中に分散するようになり、そして12月は韓国、日本を中心としたIPアドレス群から攻撃が行われました。同じ国からの通信はファイアウォールで遮断対応することが難しいことを狙い、攻撃対象の周辺国に存在するボットネットを悪用して攻撃を行っているのでしょう。

これら文字列は一見意味がないように見えますが、最近よく挿入されている文字列（<script src=http://）と近いだろうと予想しました。「<raqmtr$r……」と「<script src……」の文字コードを比べてみると、10文字ずつ0123446419という数字でXOR（排他的論理和）をかけられていることが分かります。それぞれ以下のように変換できます。

　このように0123446419 という数字でXORすることによりそれらしい文字列を導き出すことができましたが、変換前のままではHTMLとして解釈されず、意味のない文字列として処理されてしまいます。では、攻撃者の狙いは何だったのでしょうか？

1. SQLインジェクションのUPDATEコマンドの直前にXORし、復元する
2. この攻撃の後、別の攻撃によってXORするコードを埋め込み、復元する
3. 特定のWebブラウザの脆弱性で実行できてしまう環境が存在する（私はそのような脆弱性は知りませんが）
4. 脆弱なサイトをマーキングする
5. 攻撃元の環境によって勝手に変換されてしまった

　いずれも推測の域を出ませんが、今後の動向に注意しています