Semplice - Googleを利用するマルウェア

　Santyワームなるものが拡大していたらしい。こいつはphpBB（PHP Bulletin Board、BBSみたいなのを作るために使われるらしい）なるものをハックして感染拡大するものだ。なお閲覧したユーザーには問題は起きない、あくまでもWebサイトをターゲットにして活動する。
　このワームは先々週発見されたphpBB 2.0.10以前のバージョンに存在する脆弱性を突いて拡大する。2.0.11にバージョンアップしていれば問題は無いらしい。
　（と言うかphpBB、使った事無いんでわかりませんです、はい）

　特徴としてGoogle検索を利用して、脆弱性が残るバージョンのphpBBを利用してるサイトを検索するらしい（Googleハッキングと呼ぶらしい）。
　いや、何って言うか賢いではないですか、これって。

　ちなみにこのワームが誕生する数日前の段階で、この脆弱性を使った攻撃が散発したようだ。国内でも有名なサイトの幾つかが悪戯されたらしい。

　そう言えば過去の例として、apache wormが出現する数日前の2002年6月末、apache wormが利用したのと同じ脆弱性を突いた攻撃で、2chはサーバー上からログをことごとく削除された（らしい）。2chと関わりが無いんで、この辺の詳細はわからないんだが。

Googleハッキングとは何だ？

　セキュリティ専門家：「グーグルはハッカーにも人気」――欠陥サイト探しに利用（ITmedia）

　今調べ直ししてるネタと重複するんで、そこそこ程度に書く。
　Googleの宜しくない使い方として、これは前々から話題になっていた話だ。
　このように脆弱性が残る古いバージョン探しだけではなく、他にもGoogleを利用して企業のサイトからマル秘なページを捜したり、index.htmlを置いておらずディレクトリ丸見えな場所を探したりとか。
　ちょっと形が違えど、検索エンジンを利用したマルウェアとして、他にもMyDoomの変種の一つの例などがある。

　Google、Lycos、Altavistaの各検索サイトは、26日午前の間中、散発的にアクセス不能状態に陥っている。また、Yahooもアクセスしにくい状況だ。これは同ワームの感染拡大によるものだとMcAfeeのウイルス研究者、Craig Schmugarは述べている。このワームはPCに感染すると、そのコンピュータのハードディスク内にあるメールアドレスを検索し、またその後先の4つの検索サイトで検索を行い、さらにメールアドレスを探すという。
　「これはいわば、偶然の（DoS）攻撃だ」とSchmugarは述べ、各検索サイトがメールアドレスを探す大量の検索要求を受けて、ほとんど使えなくなっていることに言及した。従来のMyDoom亜種はホストコンピュータのハードディスク内だけのメールアドレスを検索していたが、今回の亜種はこの点が異なっている。
MyDoomの新亜種、急速に感染拡大--余波でグーグルなどが利用不能に（CNET Japan）

　まぁ、Santyワーム的には感染したサーバーが闇雲に脆弱性が残る古いバージョンのphpBBを運用しているサーバーを捜すよりも、Googleを使って検索した方が「効率」はずっと良いのだろう。
　ただちょろっとばかり改変した変種が出たら、どうなるのか謎。
　とか考えてたら、こんな記事があった。

ただ、これが完全な対処法というわけではない。SANS ISCは、別のクエリ文字列を用いる亜種が登場する可能性を示唆し、「あくまで一時的な対策に過ぎない」と指摘している。
GoogleがSantyワームに対処、「一時的措置」との指摘も（ITmedia）

　今回の件に関しては、Google自体に何か特別の問題があったようには思えないし、Googleサイドからの対策ってのは難しいんだろうな。
　（と言うかGoogleが対策しなければならない理由やどこまでやったらば良いのかが、よくわからんのです）

- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -

このブログは、Lucablog 2004-12-25 インターネットワームとGoogleの関係（http://d.hatena.ne.jp/LucaLuca/20041225）を修正・加筆し移転したものです。