「Black Hat Japan 2007 Briefings & Training」(開催期間:10月23日~26日)においてHewlett PackardのBilly Hoffman氏は、サーバとクライアントの両方を悪用して感染を拡大する"ハイブリッドWebワーム"についての講演を行った。

Billy Hoffman氏

ここで述べられているWebワームとは、WebサーバもしくはクライアントPCを介して感染、拡大をするワームである。しかし、旧来のWebワームはサーバのみを感染対象としており、これら両方を対象としたものはなかったといいう。同氏が提唱する"ハイブリッド"Webワームは、サーバとクライアントPCの両方を利用することで、旧来のWebワーム以上の感染能力を持つのだという。さらにセキュリティ製品による検知を回避するための機能も強化されているという。なお、同氏は「Jikto」と呼ばれるJavaScriptで記述されたWebアプリケーション用の脆弱性検出ソフトウェアの開発者としても知られており、今年そのソースコードが流出した際の上司との会話といったエピソードなどにも触れ、笑いのあるムードの中で講演が進んでいった。

旧来のWebワームの検知方法

旧来のWebワームは、Webアプリケーションのクロスサイトスクリプティングや、コマンドインジェクションの脆弱性を悪用して感染する。したがって感染対象のOSに依存しないため、幅広いプラットフォーム環境を感染対象にできることが大きなメリットとなるという。

旧来のWebワームの典型的な事例として、Perl.SANTYがある。これはphpBBの脆弱性を悪用して感染を広げるWebワームである。phpBBに含まれている文字列をGoogleで検索し、その結果に表示されたサイトに対して感染を行う。

すなわち、旧来のWebワームは拡散のために大きな問題を抱えていた。Perl.SANTYが使用する特定の文字列の検索結果を、エラーとなるようにGoogleが対策をとったため、Perl.SANTYは一気に衰退した。その他のWebワームも同様にGoogleなどの検索エンジン事業者に対策を実施されたことで、感染拡大を妨げられていた。このように、あるポイントで対策を行うだけで解決するため、このような一挙解決の策を「"銀の弾"(狼人間を撃つための弾)と呼んでいる」という。