JPCERTコーディネーションセンター(JPCERT/CC)は3月9日,セキュリティ・サーバー・ソフト「OpenSSH」の脆弱性(セキュリティ・ホール)を突いた不正侵入が相次いでいることを警告した。不正侵入されて,オンライン詐欺「フィッシング」に悪用された例もあるという(関連記事)。OpenSSHを稼働させているサーバーの管理者は,使用しているOpenSSHに脆弱性がないことや,適切なアクセス・コントロールを施していることなどを確認してほしい。
OpenSSHは,セキュアなリモート・アクセスを実現するために,多数のホスト(サーバー)で利用されている。半面,脆弱性があるバージョンを稼働させている場合には,不正侵入に悪用される。実際,JPCERT/CCには,OpenSSHの脆弱性を突いたと思われる不正侵入の報告が複数寄せられているという。
侵入されたサーバーの中には,フィッシングに悪用されたものもある。不正侵入を許すと,被害者であるにもかかわらず加害者になってしまう。OpenSSHを利用しているサーバーの管理者は,脆弱性がないかどうか早急に確認する必要がある。
具体的には,脆弱性がない最新バージョンOpenSSH 3.9あるいは3.9p1を使っているかどうかを確認する。これらよりも古いバージョンには脆弱性が確認されているので,早急にバージョンアップすること。
【3月11日追記,お詫びと訂正】上記パラグラフで「これらよりも古いバージョンには脆弱性が確認されている」としましたが,これは誤りです。OpenSSH 3.7.1およびOpenSSH 3.7.1p2以降には,セキュリティに関する脆弱性は確認されていません(OpenSSH セキュリティ,関連記事)。お詫びして訂正いたします。【以上,3月11日追記】
現在施しているアクセス・コントロールも確認する。利便性を考慮して,どのマシンからでもアクセスできるようにしているケースが少なくないだろうが,JPCERT/CCでは,IPアドレスやホスト名でアクセス・コントロールするよう強く勧めている。
現時点の認証方法についても確認するよう勧めている。具体的には,「UNIXパスワード認証が有効となっている場合には無効にする」「より安全な認証方法を利用する」「rootではリモート・ログインできないように設定する」――ことなどを勧めている。
JPCERT/CCのページでは有用な関連情報をいくつか紹介しているので,それらにも目を通しておきたい。
◎参考資料
◆OpenSSH の脆弱性を使ったシステムへの侵入に関する注意喚起
(勝村 幸博=IT Pro)
