米SANS Instituteなどは12月26日，アプリケーション開発言語PHPのインタプリタ「PHP 4／5」を利用しているWebサーバーに感染するワーム「PhpInclude.Worm（Santy.e）」を警告した。PhpInclude.Wormは，Webページのプログラム・ミスを突いてサーバーに侵入するワームであり，PHPやphpBBのセキュリティ・ホールを突くものではない。このため，PHPを利用するすべてのWebサーバーが影響を受ける可能性がある。PHPを利用するWebサーバーの管理者は改めてチェックしたい。

　12月21日以降，PHPで記述された掲示板システム「phpBB」のセキュリティ・ホールを突くワーム「Santy」が流行して話題になった（関連記事）。また，12月中旬には，PHP 4／5に危険なセキュリティ・ホールが見つかっており，実際に悪用されている（関連記事）。

　しかしながら，今回警告されたPhpInclude.Wormは，これらのセキュリティ・ホールを悪用するわけではない。PHPのプログラム・ミスを突いて感染を広げる。このため，利用しているPHPやphpBBのセキュリティ・ホールの有無（PHPやphpBBのバージョン）にかかわらず，影響を受ける可能性がある。

　具体的には，PHPの関数「Include()」や「Require()」を不適切に使うことで発生する問題（セキュリティ・ホール）「File Inclusion Flaw」を悪用する。このプログラム・ミス（セキュリティ・ホール）はPHPを使っているWebページの多くに存在するという。PHPを使っているWebサイトの管理者（開発者）は改めて確認してほしい。

　また，PHPやphpBBのセキュリティ・ホールを突くSantyワームの変種も出現しているという。例えば，オリジナルのSantyはGoogleを使って標的を探すが，変種の中にはAOLやYahoo!といった検索エンジンを利用するものが報告されている。また，単に感染を広げるだけではなく，ボットを仕込むSantyの変種も存在する（関連記事）。なお，ベンダーによっては，PhpInclude.WormをSantyの変種（例えば，「Santy.e」）としている場合もある。

　PHPを利用するWebサーバーの管理者は，PHPや（もし使っていれば）phpBBにセキュリティ・ホールがないことを確認するとともに，PHPを使ったページがきちんと書かれていること（Include()やRequire()が不適切に使われていないこと）を確認する必要がある。

◎参考資料
◆php boxing continues（SANS Institute）
◆Santy Variant?; Year End Poll（SANS Institute）
◆PhpInclude.Worm - PHP Scripts Automated Arbitrary File Inclusion（K-OTik）
◆Phpishing issues（F-Secure）
◆PHP Security Mistakes

（勝村　幸博＝IT Pro）