インターネットのセキュリティ組織である米CERT/CCは米国時間4月24日,DDoS(Distributed Denial of Service)*1 ツール「Carko」を警告した。対象となるのは 「snmpXdmid」*2 を動作させている Solaris 2.6/7/8 のマシン。これらのOSではデフォルトで snmpXdmid がインストールされており,動作するように設定されている。Carkoは snmpXdmid のセキュリティ・ホール([関連記事])を突いて対象マシンに侵入し,他のサイトに DDoS攻撃するためのツールを仕掛ける。さらに,いくつかのプログラムや設定ファイルを改変するとともに,システム情報を外部へ送信する。Carkoの侵入を許すと,自サイトばかりではなく他のサイトへも多大な迷惑をかける恐れがある。Solaris 2.6/7/8 マシンの管理者は早急に対策をとる必要がある。
snmpXdmidのセキュリティ・ホールについてCERT/CCがアドバイザリを出したのは米国時間の3月30日。しかし,1カ月近く経過した現在でも,米Sun Microsystems からパッチは公開されていない。そのため,対象システムの管理者はアドバイザリにあるように,(1)snmpXdmiを無効にする,(2)snmpXdmiへのアクセスを制限する---などの対策の必要がある。
まず,SNMPとDMIを両方とも使用していないシステムであれば,snmpXdmiを無効にすることをCERT/CCは強く勧めている。もし,snmpXdmiを動作させているのであれば,ローカル・ホスト以外からはsnmpXdmiにアクセスできないように設定して対処する。これらの具体的な設定方法はCERT/CC のアドバイザリに記載されている。
*1 DDoS については「解説●官公庁,Yahoo!,Amazon.comを襲った手口」や「DDoS攻撃に関する情報(情報処理振興事業協会セキュリティセンター)」に詳しい。
*2 snmpXdmidとは,SNMP(Simple Network Management Protocol)イベントとDMI(Desktop Management Interface)情報を仲介するデーモン・ソフトのこと。
[CERT Incident Note IN-2001-04 「"Carko" Distributed Denial-of-Service Tool」]
[CERT Advisory CA-2001-05 「Exploitation of snmpXdmid」]
[「DDoS攻撃に関する情報」(情報処理振興事業協会セキュリティセンター)]
◎関連記事
[Solaris 2.6/7/8の「snmpXdmid」に深刻なセキュリティ・ホール]
[システム管理者“一年生”に贈る言葉]
[解説●官公庁,Yahoo!,Amazon.comを襲った手口]
[止まらないWebサイトの改ざん被害]
