米CERT/CC[用語解説]やOpenBSD Projectは米国時間8月1日,フリーのSSH(Secure Shell)[用語解説]ソフト・パッケージ「OpenSSH」に,トロイの木馬[用語解説]が仕込まれている恐れがあること警告した。トロイの木馬を含むOpenSSHのソースをコンパイルすると,そのマシン上で外部から任意のコマンドを実行される恐れがある。
トロイの木馬が含まれる恐れがあるのは,「openssh-3.4p1.tar.gz」,「openssh-3.4.tgz」,「openssh-3.2.2p1.tar.gz」。米国時間7月30日から7月31日まで,FTPサイト「ftp.openssh.com」および「ftp.openbsd.org」に置かれていたという。米国時間8月1日には,これらのサイト上のファイルは,オリジナルに置き換えられているが,ミラー・サイトなどには依然古いファイルが置かれている可能性がある。上記サイトからに限らず,7月30日以降にOpenSSHをダウンロードしたユーザーは,改めて確認する必要がある。
OpenSSHは,OpenBSD Projectによって開発および保守されている,SSHプロトコルを実装したソフトウエア・パッケージである。
今回警告された,トロイの木馬を含むOpenSSHのソース・ファイルをコンパイルすると,そのマシン上でトロイの木馬が稼働し始める。このトロイの木馬は,1時間に1度,ある特定のIPアドレスのTCP ポート 6667番に接続を試みる。TCP ポート 6667番はIRC(Internet Relay Chat)[用語解説]のサーバーが一般的に使用するポートである。
トロイの木馬との接続が確立できれば,そのマシン上で任意のコマンドを実行できてしまう。このときのアクセス権限は,OpenSSHをコンパイルしたユーザーと同じ権限になる。
CERT/CCによれば,ファイルのタイムスタンプやサイズで,トロイの木馬を含むファイルかどうかを判断するのは不十分だという。MD5[用語解説]のチェックサムやPGP署名[用語解説]で確認するよう勧めている。MD5のチェックサムなどは,CERT/CCやOpenBSD Projectの公開情報に詳しく記載されている。
◎参考資料
◆CERT Advisory CA-2002-24 Trojan Horse OpenSSH Distribution(米CERT/CC)
◆OpenSSH Security Advisory (adv.trojan) (OpenBSD Project)
(勝村 幸博=IT Pro)
