Bashの脆弱性を標的としたウェブサーバーへのアクセスが増加、警察庁が注意喚起

　警察庁は25日、Bashの脆弱性を標的としていると考えられるウェブサーバーへのアクセスを多数観測したとして、注意喚起を行った。

　警察庁の観測によると、2月18日から2月24日までの間、Bashの脆弱性を標的としていると考えられるTCP 80番ポートへのアクセスが増加。今回増加したアクセスは、Perlスクリプトを攻撃対象であるウェブサーバーにダウンロードおよび実行させ、ウェブサーバーをボットとして利用することが目的とみられている。

アクセス件数の推移（警察庁発表資料より）

　Perlスクリプトは、被害に遭ったサーバーをIRCボットとして動作させるもので、スクリプトは実行後に削除されるが、ボットとしての動作は継続しているものと考えられる。被害に遭ったウェブサーバーは、外部に設置された指令サーバー（IRCサーバー）にTCP 666番ポート、チャンネル名「#bash」で接続。IRCサーバーからの指令により、外部のDoS攻撃、ポートスキャン、メール送信などに悪用される危険がある。

被害に遭ったウェブサーバーの動作（警察庁発表資料より）

　警察庁では、管理するウェブサーバーについて、脆弱性の影響を受けるBashを利用していないかを確認するよう呼び掛けている。また、脆弱性の影響を受けるウェブサーバーが存在した場合には、この他にも外部から何らかの攻撃を受けている可能性が高いとして、外部とのネットワーク接続を直ちに遮断し、詳細な調査を実施するとともに、セキュリティ対策を行うことを推奨している。