米CERT/CCは米国時間10月8日,メール・サーバー・ソフト「Sendmail」のソース・コードにトロイの木馬が仕込まれている恐れがあることを警告した。仕込まれている恐れがあるのは,「sendmail.8.12.6.tar.Z」および「sendmail.8.12.6.tar.gz」。FTPサイト「ftp.sendmail.org」で9月28日ごろから配布されていたという。同サイトからに限らず,この時期にSendmailのソース・コードをダウンロードしたユーザーには,PGP署名[用語解説]やMD5チェックサム[用語解説]で必ず検証するように勧めている。
仕込まれたトロイの木馬は,ユーザーがSendmailをビルドしている間動作し,TCPポート6667番を介して外部のある特定のサーバーに接続するプロセスを生成する。接続が確立されれば,そのサーバーからSendmailをビルドしているマシン上で任意のコマンドなどを実行できてしまう。このときの実行権限はSendmailをビルドしているユーザーの権限になる。
トロイの木馬が仕込まれたSendmailはftp.sendmail.orgで配布されていたことが確認されている(同サイトは10月6日に閉鎖された)。Webサイトwww.sendmail.orgでは確認されていない。しかし,どのようなサイトからであっても,9月28日ごろ以降にダウンロードしたユーザーには,トロイの木馬が仕込まれていないことを確認するよう勧めている。具体的には,PGP署名やMD5チェックサムで検証する。タイムスタンプやファイル・サイズで確認するだけでは不十分であるという。
併せて,TCPポート6667番を閉じること,管理者権限(root)ではソース・コードをビルドしないことなども勧めている。
公式のダウンロード・サイトから入手しても安全とは限らない。2カ月前にはOpenSSHのソース・コードにもトロイの木馬が仕込まれていた(関連記事)。PGP署名やMD5チェックサムで必ず検証するようにしたい。
◎参考文献
◆CERT Advisory CA-2002-28 Trojan Horse Sendmail Distribution
(勝村 幸博=IT Pro)
