新種ワームがもたらすサイト改竄は、迷惑なクリスマスの贈り物

新種のワーム『Santy.A』が見つかった。Santy.A は瞬く間に何万という Web サイトに広がり、脅威という迷惑なホリデーシーズンの贈り物をばらまいている。

セキュリティ会社 F-secure は21日午後、同ワームを発見し警告を出した。同社の識別名は「Net-Worm.Perl.Santy.a」だ。Santy.A については複数のセキュリティ会社が警告を発しており、Web サイト上でフォーラムを作成するのに用いる例が多いプログラムの脆弱性を突いて、Web サイトを改竄 (かいざん) するという。

また、別のセキュリティ会社 iDefense の悪質コード担当ディレクタ Ken Dunham 氏によると、同ワームはわずか数時間のうちに4万近いサイトを改竄し、機能を停止させたという。Santy.A はサイト改竄の際に、世代番号を付してその拡大ぶりを誇示する。同ワームの世代番号は現段階で、少なくとも17世代まで確認できている。

Santy.A は、オンライン フォーラム作成用ソフトウェア『phpBB』の脆弱性を利用し、急速に感染を拡大した。同ワームは攻撃に成功すると、「This site is defaced!!! NeverEverNoSanity. (このサイトは改竄されている!!!　セキュリティがなっていない)」というメッセージを残す。

Santy.A は、自ら感染を拡大するもので、ユーザーの操作は一切関係しない。同ワームは、Google (NASDAQ:GOOG) の検索機能を通じて脆弱性を持つフォーラム運営サイトを探し出し、遠隔的に脆弱性を悪用し、対象サイトにアクセスしてサイトを改竄する。そして次なる攻撃対象を見つけるため、ランダム スキャンを再開する。

Dunham 氏は、Santy.A が正確にどのような脆弱性を利用しているかの詳細について、まだ確実とはいえないが、11月に報告があった『phpBB 2.0.10』に存在する SQL インジェクションの脆弱性を利用しているのではないかと話す。ただし同氏は、まだそうだと確認できたわけではないことを強調した。

同じくセキュリティ会社 Symantec の警告によれば、Santy.A は phpBB の遠隔入力検証の脆弱性を用いるという。同脆弱性は、入力検証で行なう URL デコードに問題があり、SQL インジェクション攻撃を仕掛けるのに利用したり、悪質な PHP コード実行が可能になりかねないという内容で、Dunham 氏の見解とも概ね一致する。セキュリティ関係のメーリングリストを運営する SecurityFocus の情報によれば、この脆弱性は phpBB 2.0.0 から phpBB 2.0.10 まで存在する。

Dunham 氏によると、同ワームはサイト改竄以外に特別な攻撃を行なっている様子はなく、感染サイトにアクセスしたエンドユーザーのマシンが感染することもないという。

F-secure や Symantec のほか Kaspersky Lab も同日、Santy.A に関する警告を出した。サイト改竄を防止するため、phpBB のバージョンを、2.0.10 から 2.0.11 にアップグレードするよう勧告している。

Twitter	iPhoneアプリ / iPadアプリ		Androidアプリ
Facebook	RSS	ニュースメール