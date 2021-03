2021年03月30日 11時07分 ソフトウェア

ハッカーがPHPの開発者になりすましてソースコードにバックドアを仕込んでいたことが判明



オープンソースのプログラミング言語であるPHPの開発者らが使用していたGitサーバーに何者かが侵入し、PHPのソースコードにバックドアをしかけていたことが判明しました。ハッカーは悪意のあるコミットをプッシュする際、PHPの開発者であるラスマス・ラードフ氏らになりすましていました。



php.internals: Changes to Git commit workflow

https://news-web.php.net/php.internals/113838



PHP's Git server hacked to add backdoors to PHP source code

https://www.bleepingcomputer.com/news/security/phps-git-server-hacked-to-add-backdoors-to-php-source-code/



Hackers backdoor PHP source code after internal repo hack | The Record by Recorded Future

https://therecord.media/hackers-backdoor-php-source-code-after-internal-repo-hack/



Hackers backdoor PHP source code after breaching internal git server | Ars Technica

https://arstechnica.com/gadgets/2021/03/hackers-backdoor-php-source-code-after-breaching-internal-git-server/



PHPの開発者の1人であるニキータ・ポポフ氏は2021年3月28日に、PHPに悪意あるソースコードが挿入されていたことを発表しました。その中でポポフ氏は「昨日、ラードフと私の名前で、2つの悪意あるコミットがphp-srcのGitリポジトリにプッシュされました。具体的に何が起きたのかは調査中ですが、すべての証拠がgit.php.netサーバーへの侵入があったことを示しています」と述べました。



実際に、PHPのリポジトリで不正なコードが発見された際のやりとりが以下。ラードフ氏によるタイプミスの修正を装ったソースコードの改変が行われていますが、ラードフ氏は関与していないとのこと。





バックドアの存在は、チェコのエンジニアであるMichael Voříšek(mvorisek)氏が「これは何をしているんですか?」と不審なコードを指摘したことで発覚しました。問題のコードは、「zerodium」という文字列で始まるHTTPヘッダーを使って、不正なサーバーにリクエストを送信するというものでした。





Zerodiumとは、ハッカーやセキュリティ研究者から脆弱性を買い取っているアメリカの情報セキュリティ会社の名前です。ZerodiumのCEOであるChaouki Bekrar氏はTwitterで、「明らかに、私たちはこの一件とは何の関係もありません。おそらく、何者かがバグかエクスプロイトを発見して売りさばこうとしましたが、誰も買おうとしなかったので、腹いせにやったのでしょう」とコメントしました。





PHPの開発チームはセキュリティが破られたことを受けて、内部のGitサーバーはもう信頼できないと判断し、ソースコードの管理機能をGitHubに移管することを決定しました。これにより、今後のPHPの変更はGitHubに直接プッシュされるようになるとのことです。



ポポフ氏は、IT系ニュースサイトのBleeping Computerに対し、「今回問題が見つかった2つのコミット以外の改変があるかどうか、リポジトリを確認しているところです」と話して、今回の不正アクセスの影響についての調査を継続していく考えを示しました。





なお、今回の問題が見つかったのは、2021年末にリリースされる予定であるPHP8.1の開発ブランチ上だったとのこと。海外メディアのThe Record by Recorded Futureは「統計調査によると、PHPはインターネット上のすべてのWebサイトの約80%で使用されていますが、ほとんどのPHPサーバーはパッチの適用や最新のソフトウェアバージョンの実行が遅れているため、今回の事件は、ごく一部のシステムにしか影響を与えなかったと考えられます」と述べて、影響が及ぶ範囲は最小限との見方を示しています。