2013年 12月 [PDF: 約22KB]

Distributed via
http://www.npa.go.jp/cyberpolice/
平 成 26 年 ２月 13 日
インターネット観測結果等
(平成 25 年 12 月期)
 PHP-CGI の脆弱性を狙った攻撃が急増
PHP-CGI に関する脆弱性1に関して、平成 25 年 10 月 29 日に新たな攻撃コードが公開さ
れました。同攻撃コードの公開により、PHP-CGI を実際には使用していなくても、PHP-CGI
が使用できる状態となっているだけで、脆弱性を利用した攻撃を受ける可能性があることが
明らかとなりました。警察庁においては、前期末から今期にかけて、同脆弱性を狙った攻撃
の急増を観測しています（図１）。
11月1日
11月3日
11月5日
11月7日
11月9日
11月11日
11月13日
11月15日
11月17日
11月19日
11月21日
11月23日
11月25日
11月27日
11月29日
12月1日
12月3日
12月5日
12月7日
12月9日
12月11日
12月13日
12月15日
12月17日
12月19日
12月21日
12月23日
12月25日
12月27日
12月29日
12月31日
(件/日)
900
800
700
600
500
400
300
200
100
0
図１ PHP-CGI の脆弱性を狙った攻撃件数の推移（H25.11.1∼12.31）
これらの攻撃について分析した結果、ボットプログラムに感染して外部からの攻撃命令を
受信し、DoS 攻撃等の攻撃行為の踏み台となる場合もあることが判明しています。同攻撃手
法による被害を防止するために、次の対策を推奨します。
 各組織で管理するウェブサーバで PHP の導入有無と、導入されていた場合には、その
PHP のバージョンを確認する。
 PHP のバージョンが以下に該当する場合には、速やかに最新版へのバージョンアップを
実施する。
 PHP 5.3.12 より前のバージョン
 PHP 5.4.2 より前の PHP 5.4.x
 ウェブサーバの公開ディレクトリ内に、使用していない PHP の実行ファイルもしくはその
シンボリックリンクが存在しないかを確認する。不要なものが存在した場合には、削除を
行う。
 脆弱性が存在するバージョンの PHP が動作していたウェブサーバについては、既に攻
撃を受けている可能性があるので、アクセスログの精査を実施すると共に、ファイル作成、
プロセス起動及び外部との通信状況について調査を実施する。
1
「JVNVU#520827 PHP-CGI の query string の処理に脆弱性」 （CVE-2012-1823）
http://jvn.jp/cert/JVNVU520827/
Copyright 2014 Cyber Force Center, NPA JAPAN