【インターネットに公開しているサービス特有の攻撃とその対処方法(4)】(東陽テクニカ) | ScanNetSecurity
2024.05.14(火)

【インターネットに公開しているサービス特有の攻撃とその対処方法(4)】(東陽テクニカ)

<FTPサービスにおける注意点と攻撃例>

特集 特集
facebookLINE
<FTPサービスにおける注意点と攻撃例>

 FTP はインターネット・サービスとしては歴史が古く、不正利用されることの最も多いサービスでもある。FTP サービスが受ける侵入として最も一般的なものは、単に違法コピー・ソフトウェアなどの置き場所として利用されることだ。 FTPサイトでは、外部のユーザが同一ディレクトリ 読み書きを両方行えるような設定を決して行わないこと。また、anonymousの書き込み許可は絶対にしてはいけない。基本的なディレクトリ(フォルダ)設定やユーザ設定に関してはWeb同様のセキュリティチェックリストやセキュリティ情報を参照するとよいだろう。

・FTPサービスへの代表的な攻撃

(1)Bounceアタック
 誤って設定されたFTP サーバを利用する古典的なネットワーク・アタックの1つです。FTPサーバのすべての管理者は、この攻撃のしくみを理解しておく必要があります。The FTP Bounce Attack( http://www.insecure.org/nmap/hobbit.ftpbounce.txt
(2)無効なPORTコマンド
 PORTコマンドを利用した侵入の試行があるが、現在のFTPサービスではこの攻撃はほぼ無効。

(3)FTP PORT の制約
 FTPのPORTコマンドを使って、よく知られているポート番号へのFTP転送が設定された状態。通常、不正なファイル転送が試みられている場合がある。

(4)FTP CWD ~root コマンド
 FTPサーバの旧バージョンにあるバグの一つ。これにより/etc/passwdなどを引き出すことが可能である。

(5)FTP SITE EXEC コマンド
 wu-ftpdの2.2より古いバージョンには、脆弱点があり、ハッカーやクラッカーがこれを利用してプログラムを実行できる。

(6)FTP 非常に長いユーザ名
 ユーザ名フィールドを使い、故意に”バッファ・オーバフロー”を起こそうとしている。

(7)FTP 非常に長いパスワード
 パスワードフィールドを使い、故意に”バッファ・オーバフロー”を起こそうとしている。

(8)FTP 非常に長い CWD 先のディレクトリ名:
 CWDコマンドを使い、故意に”バッファ・オーバフロー”を起こそうとしている。

(9)FTP 非常に長いファイル名
 ファイル名フィールドを使い、故意に”バッファ・オーバフロー”を起こそうとしている。

(10)FTP 非常に長いコマンド行
 異常に長いコマンド使い、故意に”バッファ・オーバフロー”を起こそうとしている。

 FTPは多くのコマンドを受け付けるため、古いサーバアプリケーションにはほとんどといってよいほど、バッファ・オーバフローの脆弱性を持っている。最新のソフトウェアには数は少なくなってきたが、それでもまだ若干残っているし、潜在的なものも残っているはずである。
FTPバッファ・オーバフローに関してはCERTを参照するとよいだろう。
http://www.cert.org/advisories/CA-1999-03.html

 FTPに関する情報は、使っているOSやアプリケーションによってその機能、対策が大きくことなってしまうため、それぞれのアプリケーションサイトの情報を確認するとよい。

wu-ftpd http://www.landfield.com/wu-ftpd/
Linuxなどので多く使われているwu-ftpdの情報

IIS http://www.microsoft.com/JAPAN/technet/security/
マイクロソフトのセキュリティ情報

<syslogに関して>

 アクセスログは必ず取っておくこと。できるなら内部のマシンからそのデータを吸い上げ、サーバ内で保管されているものはあてにしないようにしたほうがよいだろう。高度なハッカーは完全に手中にしたサーバのログを、その痕跡が残らないように自分の情報だけを削除してから保存ということも行うため、書き換えられる前に別の場所で保存しておくのがよい。


米NetworkICE社 ホームページ:
http://www.networkice.com/
advICE(英語)ページ:
http://advice.networkice.com/Advice/default.htm

(株)東陽テクニカ セキュリティホームページ:
http://www.toyo.co.jp/security/index.html
advICE(日本語)ページ:
http://www.toyo.co.jp/security/ice/advice/

(株)東陽テクニカ
情報通信システム部 セキュリティグループ
安食 覚

詳しくはScan本誌でご覧下さい
http://www.vagabond.co.jp/c2/scan/

《ScanNetSecurity》

特集

PageTop

アクセスランキング

  1. 範を示す ~ MITRE がサイバー攻撃被害公表

    範を示す ~ MITRE がサイバー攻撃被害公表

  2. 脆弱な DMARC セキュリティ・ポリシーを悪用、北朝鮮スピアフィッシング詐欺

    脆弱な DMARC セキュリティ・ポリシーを悪用、北朝鮮スピアフィッシング詐欺

  3. 東京メトロ社員が遺失者になりすまし、現金総額 235,458円 ほか遺失物着服

    東京メトロ社員が遺失者になりすまし、現金総額 235,458円 ほか遺失物着服

  4. TwoFive メールセキュリティ Blog 第14回「いよいよ6月、メルマガが届かなくなる…!? ~ メルマガ配信している皆さん ワンクリック購読解除の List Unsubscribe対応は済んでますか?」

    TwoFive メールセキュリティ Blog 第14回「いよいよ6月、メルマガが届かなくなる…!? ~ メルマガ配信している皆さん ワンクリック購読解除の List Unsubscribe対応は済んでますか?」

  5. ランサムウェア「LockBit」被疑者の資産を凍結し起訴

    ランサムウェア「LockBit」被疑者の資産を凍結し起訴

  6. 「マルカワみそ公式サイト」に不正アクセス、カード情報に加えログイン用パスワードも漏えい

    「マルカワみそ公式サイト」に不正アクセス、カード情報に加えログイン用パスワードも漏えい

  7. テレ東「ヤギと大悟」公式 X アカウントが乗っ取り被害、意図しないポストが数件行われる

    テレ東「ヤギと大悟」公式 X アカウントが乗っ取り被害、意図しないポストが数件行われる

  8. ランサムウェア被害の原因はスターティア社の UTM テストアカウント削除忘れ

    ランサムウェア被害の原因はスターティア社の UTM テストアカウント削除忘れ

  9. 豊島のサーバにランサムウェア攻撃、復旧済みで業務に影響なし

    豊島のサーバにランサムウェア攻撃、復旧済みで業務に影響なし

  10. 護衛艦いなづまの艦長、資格のない隊員を特定秘密取扱職員に指名し懲戒処分

    護衛艦いなづまの艦長、資格のない隊員を特定秘密取扱職員に指名し懲戒処分

ランキングをもっと見る
ホーム 特集 特集 記事
TOP