セキュリティ組織のJPCERTコーディネーションセンター(JPCERT/CC)は11月7日,報道陣向けの説明会において,2005年第3四半期(7月~9月)に受け付けたセキュリティ・インシデント(セキュリティに関する事件・出来事)の報告件数や動向などについて解説した。同期間の受け付け件数は667件,そのうち,SSHサービスに関するものが230件を占めた。「実際に乗っ取られたサーバーもある。乗っ取られるとフィッシングなどに悪用されることになる」(運用グループ グループマネージャの伊藤求氏)
伊藤氏によると,従来はSSHサーバーがリクエストを待ち受けるポート(TCP 22番)をスキャンするだけのケースが多かったが,今期はパスワードを破って侵入しようとする「ブルートフォース・アタック(総当り攻撃)」が多数報告されているという(関連記事)。
ブルートフォース・アタックが増えている理由の一つには,自動化ツールの存在が挙げられる(関連記事)。ツールは,ツール自身が備える辞書ファイル中の単語を使ってログインを試みる。「最近は,日本語が含まれる辞書を使っているツールが増えている」(伊藤氏)。ツールが攻撃を仕掛けたマシンのログには,「itoh」や「doraemon」といったアカウントによるログインの試みが確認されたという。
ブルートフォース・アタックなどで不正侵入を許すと,フィッシング・サイトとして悪用される場合がある。2005年第3四半期中JPCERT/CCには,フィッシングに関する報告が75件寄せられた(2005年第1四半期は36件,第2四半期は78件)。フィッシング・サイトとして悪用された原因や侵入経路まではJPCERT/CCで把握していないものの,このうち何件かはSSHサービスへのブルートフォース・アタックで侵入された可能性があるとしている。
同日,JPCERT/CCが2005年第3四半期に調整した脆弱性(セキュリティ・ホール)情報についても解説した(関連記事)。同期間に公表した脆弱性関連情報は31件,そのうち,国内の発見者や開発者からの届け出・連絡に基づくものが14件で,残りの17件は海外の関連組織(米CERT/CCや英NISCC)から報告されたもの。
後者については,国内ベンダーへ知らせたり,対応状況を集約したりといった国際調整をおこなう。逆に,海外ベンダーの製品も影響を受ける脆弱性が国内で発見された場合には,JPCERT/CCから海外の関連組織へ報告するなどの調整を実施する。
第3四半期に公表した31件のうち,国内だけで調整が完了したケースが8件,残りの23件については国際調整をおこなった。海外で発見されて国内で調整した脆弱性は前述のように17件,残りの6件については,国内で発見された脆弱性を海外の関連組織とともに調整した。「国内で見つかって国際調整を必要する脆弱性は増加傾向にある。今後も増えると予想される」(情報流通対策グループ グループマネージャの椎木孝斉氏)
◎参考資料
◆JPCERT/CC 活動概要 [2005年7月1日~2005年9月30日]
