年末年始に掛けて多数のスキャン痕跡
phpMyAdminを狙う攻撃が増加、アップデートなどの対策を
2012/01/16
2011年の年末から2012年にかけて、phpMyAdminの脆弱性を狙った攻撃が増加しており、注意が必要だ。いくつかのブログで、phpMyAdminの脆弱性をスキャンしたと見られるログが報告されている。
phpMyAdminは、PHPで実装されたMySQLの管理ツールだ。機能が豊富で、Webインターフェイス経由でMySQLを管理できることから広く利用される一方で、複数の脆弱性が発見されており、たびたび攻撃の標的になってきた。
古くは2009年3月に、「phpMyAdminのsetup.phpにおける任意のPHPコードを挿入される脆弱性(CVE-2009-1151)」が発見され、学術機関を中心に被害が発生した。
また2011年7月にも、任意のコードを実行可能な2種類の脆弱性(CVE-2011-2505、CVE-2011-2506)が発見されている。この脆弱性に関するNTTデータ先端技術のレポートによれば、これら2つの脆弱性を組み合わせて利用し、細工したHTTPリクエストを送り付けることによって、Webサーバの実行権限で任意のPHPコードを実行可能となってしまう。実際に同社が、Debian 6.0.2上のphpMyAdmin 3.3.10を用いて検証を実施したところ、細工を施したHTTPリクエストを介してコンフィグファイルを出力させ、任意のコマンドを実行できるスクリプトを設置、実行できることが明らかになった。
HASHコンサルティングの徳丸浩氏も同様に、phpMyAdminの脆弱性のメカニズムについて説明。phpMyAdmin 3.3.10.2未満/3.4.3.1未満を利用しており、「setup/index.phpとsetup/config.phpを外部から実行できる」といった条件が満たされている場合に、外部から任意のPHPスクリプトを実行できることを検証している。
こうした情報を踏まえ、ラックでは2011年12月16日に、phpMyAdminの脆弱性を狙った攻撃に関する被害相談が複数寄せられていることを受け、注意喚起を行っていた。
対策は、脆弱性を修正済みのバージョン3.3.10.2/3.4.3.1以上にアップグレードすること。また、基本的にphpMyAdminは外部に公開する必要はないため、インターネットに公開しないか、するとしても接続できるIPアドレスを制限するといった手法も有効だ。普段phpMyAdminを利用していなくとも、OS導入時、あるいはVPSなどの利用時に勝手にインストールされている可能性があるため、確認の上、不要ならば削除するなどの措置を取るとよいだろう。
関連リンク
情報をお寄せください: tokuho@ml.itmedia.co.jp
- Windows起動前後にデバイスを守る工夫、ルートキットを防ぐ (2017/7/24)
Windows 10が備える多彩なセキュリティ対策機能を丸ごと理解するには、5つのスタックに分けて順に押さえていくことが早道だ。連載第1回は、Windows起動前の「デバイスの保護」とHyper-Vを用いたセキュリティ構成について紹介する。 - WannaCryがホンダやマクドにも。中学3年生が作ったランサムウェアの正体も話題に (2017/7/11)
2017年6月のセキュリティクラスタでは、「WannaCry」の残り火にやられたホンダや亜種に感染したマクドナルドに注目が集まった他、ランサムウェアを作成して配布した中学3年生、ランサムウェアに降伏してしまった韓国のホスティング企業など、5月に引き続きランサムウェアの話題が席巻していました。 - Recruit-CSIRTがマルウェアの「培養」用に内製した動的解析環境、その目的と工夫とは (2017/7/10)
代表的なマルウェア解析方法を紹介し、自社のみに影響があるマルウェアを「培養」するために構築した動的解析環境について解説する - 侵入されることを前提に考える――内部対策はログ管理から (2017/7/5)
人員リソースや予算の限られた中堅・中小企業にとって、大企業で導入されがちな、過剰に高機能で管理負荷の高いセキュリティ対策を施すのは現実的ではない。本連載では、中堅・中小企業が目指すべきセキュリティ対策の“現実解“を、特に標的型攻撃(APT:Advanced Persistent Threat)対策の観点から考える。
Security & Trust 記事ランキング
- 「Microsoft Office 2016/2019」が2025年10月でサポート終了 あと約1カ月で何をすべきか
- 合計で毎週20億以上ダウンロード、「debug」「Chalk」など18の人気npmパッケージにマルウェア混入
- 営業秘密漏えいが5年間で約7倍に サイバー攻撃に次いで多い漏えいのルートは?
- Salesforceからのデータ窃取、Google、Cloudflare、Zscalerが被害 原因は連携していたサードパーティアプリの侵害
- 5社に1社が「シャドーAI」に関するインシデント経験――企業のデータ侵害コスト、日本は5億5000万 IBM調査
- 急増する「なりすまし」メールの受信を防ぐDMARC、配信事業者の導入実態は
- GitHub、シークレット情報の漏えい状況を分析するアセスメント機能を提供開始
- 流行中の「ClickFix」、そしてより厄介な「FileFix」とは何者? 何が厄介?
- 継続的デリバリーツール「Argo CD」に深刻な脆弱性、APIトークン経由で認証情報流出の恐れ
- AIエージェントが変えるサイバー攻撃 アカウント侵害に要する時間は半分に Gartner予測
- Salesforceからのデータ窃取、Google、Cloudflare、Zscalerが被害 原因は連携していたサードパーティアプリの侵害
- 流行中の「ClickFix」、そしてより厄介な「FileFix」とは何者? 何が厄介?
- 「Microsoft Office 2016/2019」が2025年10月でサポート終了 あと約1カ月で何をすべきか
- 毎秒1億パケットを超える「超帯域幅消費型DDoS攻撃」が急増 「ランサムDDoS攻撃」の報告数も増加
- VS Codeでプロンプトインジェクションを可能にする3つの脆弱性 GitHubが対策とともに解説
- ランサムウェア攻撃被害が中小企業で増加、完全復旧できない企業が7割 「サイバーリカバリー」のポイントとは
- 急増する「なりすまし」メールの受信を防ぐDMARC、配信事業者の導入実態は
- 5社に1社が「シャドーAI」に関するインシデント経験――企業のデータ侵害コスト、日本は5億5000万 IBM調査
- 日本企業の6割が「AIエージェントに関する情報漏えい対策をどこから始めればいいか分からない」 ガートナー調査
- 無料で学べる、DX推進とセキュリティ対策の実践ガイド公開