2004年12月22日(水) 15時49分

Googleハッキング手法を用いるワーム「Santy」が感染拡大（ITmediaエンタープライズ）

　ウイルス対策ベンダー各社は米国時間の12月21日、Google検索を用い、脆弱なphpBBを見つけ出して感染を広めるワーム「Santy」に対する警告を相次いで発した。

　Santyは、phpBB 2.0.10以前に存在する脆弱性を突いてWebサーバに感染する。最大の特徴は、脆弱なphpBBが運用されているWebサーバを探し出す手段として、検索サイト「Google」を用いている点だ。「viewtopic.php」などの文字列をGoogleに送りつけ、脆弱なphpBBが動いているサイト見つかれば、攻撃用のリクエストを投げる。

　過去にも、Googleを用いて脆弱なWebサイトやホストを見つけ出す「Googleハッキング」の手法が話題になってきたが、ワームに応用された例は珍しい。

　Santyはいったん感染するとWebサーバ内に複製が作成されるほか、aspやhtm、jsp、php、phtm、shtmといった拡張子を備えるファイルを上書きする。結果としてWebサイトは乗っ取られ、アクセスすると「This site is defaced!!! This site is defaced!!! NeverEverNoSanity WebWorm generation X」という文字列が表示される。

　phpBBはPHPで書かれたオンライン掲示板プログラムで、国内でも多くのサイトに利用されている。セキュリティ関連メーリングリストの投稿によれば、4万近いWebサイトがこのワームに感染したという情報もある。PHPについては12月17日に、複数の深刻な脆弱性が報告されていた。

　ただしSantyは、phpBBが動いているWebサーバをターゲットとしているため、クライアントPCに感染することはない。Santyに感染したWebサイトにアクセスしても、そこから二次感染することはない。

　Santyの攻撃を防ぐには、最新版であるphpBB 2.0.11にアップグレードすること。開発元では早急なアップグレードを強く推奨している。またSANS ISCでは、オープンソースのIDS「Snort」を用いてSantyの攻撃を食い止めるための暫定的なシグネチャを公開している。

■関連記事
　 PHPに複数の深刻な脆弱性、最新版へのアップグレードを
　 セキュリティ

http://www.itmedia.co.jp/enterprise/

http://headlines.yahoo.co.jp/hl?a=20041222-00000022-zdn_ep-sci