「Watering Hole(たまり場)」攻撃においては、アタッカーは、人々に良く知られ、高い信頼性を持ち、かつトラフィックの多い Web サイトを標的にする。そのような Web サイトにマルウェアを埋め込み、訪問者に感染させるためだ。

10月24日、Google は「PHP.net」がマルウェアをホスティングしているという警告を出した。

PHP.net が「Watering Hole(たまり場)」型攻撃の標的に ― PHP 言語は無事なのか?
PHP.net は、世界で何億もの Web サイトで利用されている「PHP プログラミング言語」のコミュニティーホーム。当初、PHP.net のシステム管理者は、Google の警告は誤ったものであり、PHP.net はマルウェアに感染していないと主張していた。

だがその数時間後、PHP.net の管理者は、複数の PHP サーバーに不正アクセスされた形跡があったことを認めた。不正アクセスが見つかったのは「www.php.net」「static.php.net」「git.php.net」「bugs.php.net」をホスティングしていたサーバーだ。

PHP.net によれば、問題のマルウェアは、10月22日から24日の間にサイトを訪問したユーザーの「ごく一部」に感染した可能性があるという。

だが、Git リポジトリが不正アクセスされた形跡はないそうだ。

Git は PHP(と、その他非常に多くのプロジェクト)によって利用されているバージョン管理システム。もし、PHP Git サーバーがセキュリティ侵害を受けていたら、悪意のあるコードが PHP 言語に埋め込まれてしまう可能性があった。

今回の一件は、2011年に Linux のカーネル開発サイト kernel.org が攻撃を受けたときのことを思い起こさせるものだ。あのときには、利用者にマルウェアが感染することはなかったが、Linux 開発は若干の遅れを見せた。kernel.org でも、Git がバージョン管理システムとして利用されていた。

Git はその性質上、コードがどこから来たか、どこが書き換えられたかが明確にわかるシステムだ。このため、今回の PHP.net に対する攻撃でも、私は個人的には、PHP 自体にマルウェアが埋め込まれた可能性は少ないと考えている。

一方、「たまり場」攻撃はより大きな問題だ。PHP 自体にリスクがないとしても、php.net を訪れた開発者は、セキュリティ侵害を受けた可能性がある。

PHP.net はこれを受け、ユーザーパスワードをリセットし、新たな SSL 証明書の取得に向けたプロセスを進めている。

この件に関する公式な報告は近く公開される予定だ。今回の件は憂慮すべきものではあるが、同時に心強いものでもある。PHP.net コミュニティーは、この件に迅速に対応した。また Git の性質により、PHP 言語に対する危機は制限され、PHP 言語自体のセキュリティーは健全に保たれているように見える。

Sean Michael Kerner
Sean Michael Kerner は、eWeek および InternetNews.com の主任編集者。
(この記事は、10月26日付け英文記事の抄訳です)