米US-CERTなどは現地時間12月21日,掲示板システム「phpBB」が稼働するWebサーバーに感染するワーム「Santy」を警告した(関連記事)。Santyは検索サイト「Google」を使ってphpBBを使っているWebサーバーを探し出し,phpBBのセキュリティ・ホールを突いて侵入しようとする。侵入に成功すると,そのサーバー上のWebページを改変する。対策は,セキュリティ・ホールを修正したphpBB 2.0.11にバージョンアップすること。phpBBを利用しているサイトの管理者は早急にバージョンアップする必要がある。
phpBBは,PHP言語で記述されたオープンソースの掲示板システムであり,多くのWebサーバーで利用されている。2004年11月,phpBBのバージョン2.0.10以前(2.0.10を含む)に危険なセキュリティ・ホールが見つかった。このセキュリティ・ホールを悪用すれば,phpBBが稼働するサーバー上で任意のコマンドやSQL文を実行できる。今回出現した「Santy」は,このセキュリティ・ホールを突いてWebサーバーに侵入して感染を広げる。
同時に,そのサーバーのWebページを改ざんする。具体的には,「.php」「.htm」「.asp」「.shtm」のファイルすべてを,黒の背景に赤字で「This site is defaced!!! NeverEverNoSanity WebWorm generation 8.」などと書かれたHTMLファイルに置き換える。ここで,「generation」の次に書かれている数字は,Santyの“世代”を表している。つまり,何回目に感染したマシンなのかを示している。米SANS Instituteなどの情報によれば,2世代目(generation 2)までは,Webページの改変は行わないという。感染をある程度広げるまでは,管理者などにばれないようにするためだと考えられる。
また,Santyは感染対象サーバーを探すためにGoogleを使う。具体的には,今回のセキュリティ・ホールが存在するphpBBのファイル「viewtopic.php」で検索をかける。そして,検索結果として返されたサイトへ自分のコピーを送り込もうとする。
対策は,phpBBをバージョンアップすること。このセキュリティ・ホールは最新版のphpBB 2.0.11で解消されている。phpBBを使っているサーバーの管理者は,Santyに感染していないことを確認した上で,早急に2.0.11へバージョンアップしよう。
既にほとんどのウイルス対策ソフト・ベンダーは対応しているので,対策ソフトを使っていればSantyは検出できる。また,IDS(侵入検知システム)でも検出可能。SANS InstituteはSnort用のシグネチャを公開している。
だが,対策ソフトやIDSだけでは不十分である。Santyが悪用するセキュリティ・ホールはとても危険であり,攻撃手法(コード)も公開されている。Santyからサーバーを守っても,セキュリティ・ホールがあるままでは,新しいワームや攻撃ツールの餌食になる。phpBBを利用している管理者は,phpBB 2.0.11に必ずバージョンアップしたい。
また,今回のSantyとは無関係だが,phpBBを利用する上で不可欠なPHP(正確にはPHPのインタプリタ)にも危険なセキュリティ・ホールが見つかっている(関連記事)。こちらについても,最新版の4.3.10 または5.0.3にバージョンアップして,セキュリティ・ホールをふさいでおきたい。
◎参考資料
◆Santy(US-CERT)
◆Santy worm defaces websites using php bug(SANS Institute)
◆Santy Worm Spreads Through phpBB Forums(Netcraft)
◆phpBB viewtopic.php fails to properly sanitize input passed to the "highlight" parameter(US-CERT)
◆Google could stop the Santy worm right now(F-Secure)
◆phpBB Multiple Vulnerabilities(Secunia)
◆phpBB 2.0.11 :: 18th November 2004(phpBB Group)
◆[緊急] phpBB ユーザーの皆様へ(PHPBB JAPAN)
(勝村 幸博=IT Pro)
