Googleハッキング手法を用いるワーム「Santy」が感染拡大

Google検索を用い、脆弱なphpBBを見つけ出して感染を広めるワーム「Santy」が広がっている。

» 2004年12月22日 14時20分 公開
[高橋睦美,ITmedia]

 ウイルス対策ベンダー各社は米国時間の12月21日、Google検索を用い、脆弱なphpBBを見つけ出して感染を広めるワーム「Santy」に対する警告を相次いで発した。

 Santyは、phpBB 2.0.10以前に存在する脆弱性を突いてWebサーバに感染する。最大の特徴は、脆弱なphpBBが運用されているWebサーバを探し出す手段として、検索サイト「Google」を用いている点だ。「viewtopic.php」などの文字列をGoogleに送りつけ、脆弱なphpBBが動いているサイトのリストを作成し、攻撃用のリクエストを投げる。

 過去にも、Googleを用いて脆弱なWebサイトやホストを見つけ出すGoogleハッキングの手法が話題になってきたが、ワームに応用された例は珍しい。

 Santyはいったん感染するとWebサーバ内に複製が作成されるほか、aspやhtm、jsp、php、phtm、shtmといった拡張子を備えるファイルを上書きする。結果としてWebサイトは乗っ取られ、アクセスすると「This site is defaced!!! NeverEverNoSanity WebWorm generation X」という文字列が表示される。

 phpBBはPHPで書かれたオンライン掲示板プログラムで、国内でも多くのサイトに利用されている。セキュリティ関連メーリングリストの投稿によれば、4万近いWebサイトがこのワームに感染したという情報もある。PHPについては12月17日に、複数の深刻な脆弱性が報告されていた。

 ただしSantyは、phpBBが動いているWebサーバをターゲットとしているため、クライアントPCに感染することはない。Santyに感染したWebサイトにアクセスしても、そこから二次感染することはない。

 Santyの攻撃を防ぐには、最新版であるphpBB 2.0.11にアップグレードすること。開発元では早急なアップグレードを強く推奨している。またSANS ISCでは、オープンソースのIDS「Snort」を用いてSantyの攻撃を食い止めるための暫定的なシグネチャを公開している。

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ