Internet Watch logo
記事検索
最新ニュース

警察庁、SSHを利用した不正侵入行為の増加を警告


 警察庁は24日、インターネット定点観測システムにおいて、SSHを利用した不正侵入行為が7月中旬から多数検知されているという分析レポートを公表し、サーバー管理者に対して注意を呼びかけている。

 分析レポートによると、インターネット定点観測システムで検知されたSSHに対するアクセスが、2004年4月〜6月には1,755件であったのに対し、2004年7月〜9月では8,144件と約4.6倍に増加。同時期にSSH用の辞書攻撃ツールが海外のWebサイトで公開されていることから、こうしたツールの利用が増加の原因として考えられるとしている。

 また、警察庁ではSSHに対するアクセスの詳細な情報を得るために、脆弱なサーバーを用意して1カ月間観測したところ、合計32回の不正侵入を確認したという。攻撃の具体的な内容としては、39カ所のIPアドレスから1,174回にわたってアカウントとパスワードに対する辞書攻撃が行なわれた。発信元IPアドレスの内訳は中国が326件、米国が285件、韓国が234件、ドイツとルーマニアが143件などとなっている。

 攻撃の対象となったアカウントはUNIX系OSの管理者アカウントである「root」が最も多く、試行されたパスワードとしてはアカウントと同一のものや、単に「password」といった安易なものが観測されている。また、「test」「user」「admin」というアカウントを用意し、パスワードをアカウントと同一のものに設定したところ、32回のシステムへの侵入が確認されたという。

 システム侵入に成功した後の侵入者の行動としては、「wget」「ftp」「lynx」「curl」といったファイル転送を伴うコマンドが多く観測されており、外部からのツール類のダウンロードを目的としているケースが多いことが確認できた。また、侵入者がダウンロードを試みたファイルを調査したところ、管理者権限を奪取するためのツール、SSH辞書攻撃ツール、DDoSツール、IRCに関するツールなどが多かったとしている。

 警察庁では、こうした攻撃はOSの脆弱性や欠陥を突くものではないため、SSHサービスを使用していない場合にはサービスを停止する、rootによるログインを許可しない、安易なパスワードを設定しないといった対策を取ることで対処が可能だとしている。また、12月の時点でもSSHに対する攻撃の傾向は同様であるとして、サーバー管理者に対しては管理を厳格に行ない、被害を防ぐためにも基本的な情報セキュリティ対策の確認を呼びかけている。


関連情報

URL
  ニュースリリース(PDF)
  http://www.cyberpolice.go.jp/detect/pdf/ssh_monitor.pdf


( 三柳英樹 )
2004/12/27 20:41

- ページの先頭へ-

INTERNET Watch ホームページ
Copyright (c) 2004 Impress Corporation, an Impress Group company. All rights reserved.