グーグル検索を悪用するSantyワーム、オンライン掲示板に感染

　セキュリティ専門家らは米国時間21日、Googleで検索して攻撃対象を探し出すウェブワームが、phpBBというプログラムの脆弱なバージョンを使ったオンライン掲示板で拡がっていることを明らかにした。

　最新の分析によると、このSantyワームは、幅広く利用されているPHP Bulletin Board（phpBB）という掲示板ソフトの欠陥を突いて感染を拡げているという。ウイルス対策会社のKasperskyは声明を出し、同ワームがGoogleを検索してphpBBの脆弱なバージョンを使っているサイトを探し出していることを明らかにした。

　この結果、すでに4万近いサイトがこのワームに感染している可能性がある。Microsoft Searchを使って「NeverEverNoSanity」というフレーズを検索してみたところ、3万9000件近くヒットした。このフレーズは、感染したウェブサイト上のファイルを入れ替えるためにSantyワームが利用するテキストの一部。

　ウイルス対策会社のKasperskyは21日に新たな発表を行い、「Santy.aが急速に広まっているが、ユーザーへ直接影響するものではない。このワームは、ウェブサイトには感染するが、これらのサイトを見るために使ったコンピュータには感染しない」と述べている。

　同ワームは、脆弱なサイトのリストを求めてGoogleに特定の検索クエリを送る。そして、このリストを手に、phpBB掲示板ソフトを悪用するために考えられたPHPリクエストを出し、それらのサイトへの感染を試みる。

　同ワームはGoogleを攻撃用のツールとして利用する最新のものだが、このような手法はGoogleハッキングと呼ばれている。また、これはGoogleを使って攻撃対象者を特定する初めてのプログラムかもしれない。

　Googleで「Powered by phpBB」というフレーズを検索したところ、phpBBソフトは約600万カ所のウェブサイトで動いているらしいことが分かった。このフレーズは同ソフトを利用するウェブページの最下部に配置されているもの。

　ネットの脅威を監視するInternet Storm CenterのCTO（最高技術責任者）Johannes Ullrichは、「このPHP掲示板はさまざまなサイトで導入されている」と語る。ISCによって最初に行われた分析では、同ワームに悪用されるこの欠陥は、スクリプティング言語のPHP（PHP: Hypertext Preprocessor）で書かれたウェブページを翻訳するソフトで発生したものと結論づけている。この欠陥は先週見つかった。

　Googleを使って脆弱なサイトを見つけるのは現実離れした方法ではない。Santyは、まさにこの方法を用いている。このワームはいったんウェブサイトに感染すると、Googleを検索してphpBBが動作するほかのサイトを見つけ出し、それらのサイトへも感染を試みる。

　そして、あるサイトを乗っ取ると、このワームはすべてのHTMLやPHP、アクティブサーバ（ASP）ページ、Javaサーバページ（JSP）、セキュアなHTMLページの内容を削除し、代わりに「This site is defaced!!! This site is defaced!!! NeverEverNoSanity WebWorm generation X」というテキストを表示する。

　Googleからはこのワームに関するコメントはすぐに得られなかったが、しかし同社の広報担当はGoogleがこの情報を目にしており、この問題に関する調査を進めていると語った。