Webブラウザが「PHP.net」へのアクセスを遮断、マルウェア配布の疑い

PHP.netへのアクセスが遮断されたのは誤検知とみられていたが、同サイトが改ざんされ、マルウェア配布に使われた可能性も指摘されている。

[鈴木聖子，ITmedia]

　多くの開発者が利用する「PHP.net」のドメインがGoogleのSafe Browsing機能によって不正サイトと認識され、一時的に同ドメインへのアクセスが遮断される状態になった。PHPのサイトが改ざんされ、マルウェア配布に使われた可能性も指摘されている。

　米セキュリティ機関SANS Internet Storm Center（ISC）などが10月24日に伝えたところでは、PHP.netのドメインのWebサイトにアクセスしようとすると、「このWebサイトはマルウェアに感染しています」というSafe Browsingの警告がWebブラウザに表示される状態になっていた。

　当初はSafe Browsingによる誤検知とみられていたが、セキュリティ企業のBarracudaは同日、PHP.netサイトがマルウェア配布に使われている可能性があると報告。JavaScriptの一部が改ざんされ、Webサイトを閲覧したユーザーのシステムの脆弱性を突くコードが仕掛けられていたようだと伝えた。

　Barracudaは、同サイトを閲覧してマルウェアに感染したユーザーは相当数に上る可能性もあると指摘している。

　一方、PHPは同日サイトに掲載した更新情報の中で、「縮小化／難読化されたJavaScriptが動的にuserprefs.jsに挿入されていたために誤検知が起きたようだ」と報告。この挙動には不審な点があるとして、調査を続けていることを明らかにした。