アンチウイルス・ベンダーのフィンランドF-Secureは現地時間12月22日,「Santy」ワームからの検索リクエストを米Googleがフィルタリングし始めたことを明らかにした(関連記事)。これにより,Santyは“標的”を探せなくなり,終息へ向かうだろうとしている。
Santyは,phpBBのセキュリティ・ホールを突いてWebサーバーに感染するワーム。感染対象サーバー,つまりphpBBを使用しているサーバーを探すために,SantyはGoogleを利用する。具体的には,phpBBに含まれるファイル(ページ)名「viewtopic.php」を使ってGoogleで検索をかけて,検索結果のサイトへ感染のためのデータを送信する。
Santyからの検索リクエストをフィルタリングすれば感染拡大を防げるとして,F-SecureなどはGoogleに要求を出していた。そして今回,要求どおりにGoogleはフィルタリングを開始した。具体的には,送られてくる検索リクエストとHTTPヘッダー(User-Agent)から,Santyからのリクエストかどうかを判断する。そして,Santyからのリクエストと判断した場合には,検索結果を送信しない。
ただし米SANS Instituteでは,この対応は一時的な回避策に過ぎない(This is only a temporary fix)だろうとしている。異なる検索リクエストを送信する“変種”が出現した場合には,感染拡大を防げないからだ。
今回のGoogleの対応に安心することなく,phpBBを利用しているサイトの管理者はすぐにバージョンアップしてセキュリティ・ホールをふさぐ必要がある。
◎参考資料
◆Wrapup on case Santy(フィンランドF-Secure)
◆Santy Worm Update(米SANS Institute)
(勝村 幸博=IT Pro)
