米SANS Instituteなどは12月26日,アプリケーション開発言語PHPのインタプリタ「PHP 4/5」を利用しているWebサーバーに感染するワーム「PhpInclude.Worm(Santy.e)」を警告した。PhpInclude.Wormは,Webページのプログラム・ミスを突いてサーバーに侵入するワームであり,PHPやphpBBのセキュリティ・ホールを突くものではない。このため,PHPを利用するすべてのWebサーバーが影響を受ける可能性がある。PHPを利用するWebサーバーの管理者は改めてチェックしたい。

 12月21日以降,PHPで記述された掲示板システム「phpBB」のセキュリティ・ホールを突くワーム「Santy」が流行して話題になった(関連記事)。また,12月中旬には,PHP 4/5に危険なセキュリティ・ホールが見つかっており,実際に悪用されている(関連記事)。

 しかしながら,今回警告されたPhpInclude.Wormは,これらのセキュリティ・ホールを悪用するわけではない。PHPのプログラム・ミスを突いて感染を広げる。このため,利用しているPHPやphpBBのセキュリティ・ホールの有無(PHPやphpBBのバージョン)にかかわらず,影響を受ける可能性がある。

 具体的には,PHPの関数「Include()」や「Require()」を不適切に使うことで発生する問題(セキュリティ・ホール)「File Inclusion Flaw」を悪用する。このプログラム・ミス(セキュリティ・ホール)はPHPを使っているWebページの多くに存在するという。PHPを使っているWebサイトの管理者(開発者)は改めて確認してほしい。

 また,PHPやphpBBのセキュリティ・ホールを突くSantyワームの変種も出現しているという。例えば,オリジナルのSantyはGoogleを使って標的を探すが,変種の中にはAOLやYahoo!といった検索エンジンを利用するものが報告されている。また,単に感染を広げるだけではなく,ボットを仕込むSantyの変種も存在する(関連記事)。なお,ベンダーによっては,PhpInclude.WormをSantyの変種(例えば,「Santy.e」)としている場合もある。

 PHPを利用するWebサーバーの管理者は,PHPや(もし使っていれば)phpBBにセキュリティ・ホールがないことを確認するとともに,PHPを使ったページがきちんと書かれていること(Include()やRequire()が不適切に使われていないこと)を確認する必要がある。

◎参考資料
php boxing continues(SANS Institute)
Santy Variant?; Year End Poll(SANS Institute)
PhpInclude.Worm - PHP Scripts Automated Arbitrary File Inclusion(K-OTik)
Phpishing issues(F-Secure)
PHP Security Mistakes

(勝村 幸博=IT Pro)