PHPへのリモートファイルインクルード（RFI)攻撃が自動化で大量無差別で起こっているそうです。

前回，SQLインジェクション攻撃の増加傾向を紹介した。そのほかにも日本IBMの東京セキュリティオペレーションセンター（以下，東京SOC）では，PHPで作成されたWebアプリケーションを狙った攻撃を大量に確認している。特に，リモート・ファイル・インクルード（RFI）攻撃は非常に多く，東京SOCでは1分当たり1.5件の頻度でRFI攻撃を検知している。これらは自動化された攻撃ツールによる大量無差別型の攻撃だと考えられる。今回は，現在のRFI攻撃の動向を紹介する。

確認されているだけでも攻撃が毎分1.5件，PHPアプリ狙う攻撃が大量無差別型に | 日経 xTECH（クロステック）

やはり、調査、準備、悪用って感じでやられるそうです。

東京SOCではRFI攻撃によって標的サーバーのシステム情報を取得する行為を，調査行為と位置付けている。具体的には，以下のような情報を取得したり，インターネット上に公開したりする行為を確認している。

• OSに関する情報（OS名，ホスト名，リリース/バージョン情報，マシン型など）
• ディスク容量（ディスク総量，使用量，空き容量）
• PHPアプリケーションの動作権限情報
• PHPアプリケーションのカレント・ディレクトリ・パス
• PHPのバージョン
• PHPのセーフ・モードの有効/無効

確認されているだけでも攻撃が毎分1.5件，PHPアプリ狙う攻撃が大量無差別型に | 日経 xTECH（クロステック）

東京SOCで検知しているRFI攻撃は，その大部分が「RFIスキャナ」を利用した攻撃であることが分かっている。RFIスキャナはWebアプリケーションのRFI攻撃に対するぜい弱性を検査するツールの総称で，RFI攻撃にぜい弱なサーバーのリストを自動作成する機能を持つ(図5)。

　RFIスキャナはまず検索サイトを利用して，攻撃者の設定した条件に該当する標的サーバーをリストアップする。標的を選ぶ条件は，公開されているWebアプリケーションのぜい弱性情報などを基に攻撃者が任意に作成する。次に，リストアップされたサーバーに対して順次RFI攻撃を試行し，結果を記録する。

確認されているだけでも攻撃が毎分1.5件，PHPアプリ狙う攻撃が大量無差別型に | 日経 xTECH（クロステック）

php.iniでRFIを排除（PHP5からかな？）したりすることで対応できるみたいですが・・・・

RFI攻撃で狙われるPHPアプリケーションのぜい弱性は，サーバー上で任意のスクリプトを実行してしまうという点で致命的とさえ言える。Webアプリケーションにおける根本的な対策は，悪質なinclude文の変数埋め込みを回避するようにコーディングすること。また，サーバー上のPHPの基本設定（php.iniへの記述）で，リモート・ファイルの読み込み（インクルード）を制限することも対策になる。

　提供しているサービスや，Webアプリケーションの仕様の事情などにより，根本的な対策を行うことが難しい場合などは，Webアプリケーション・ファイアウォール（WAF）や侵入防御装置（IPS）を導入することが有効である。これらを適切に運用することで，RFI攻撃を効果的に防ぐことができる。東京SOCでは，最新の検知データを基に，IPSのカスタム・シグネチャや，ユーザーごとの検知傾向分析手法などを駆使してRFI攻撃の検知・防御を行っている。

確認されているだけでも攻撃が毎分1.5件，PHPアプリ狙う攻撃が大量無差別型に | 日経 xTECH（クロステック）