SSHスキャンの激増

概要：
　2001年12月9日と10日の間にSecure Shell (SSH)スキャンが激増した。ポート22は通常LinuxとUnixオペレーティングシステムではSSHに使用されている。DShield.orgは、2001年12月10日にポート22のスキャンの報告を184,961件受け取っているが、これはその前日の957件に比べて飛躍的な増加である。12月9日の数字はDShieldの総スキャン数の0.07パーセントであったが、12月10日の数字は約15パーセントである。DShieldも、過去5日間のヨーロッパベースのホストのスキャンの43パーセントはSSHのものであることを報告している。12月11日12:06 GMT現在でのスキャン数は既に280,620件にのぼる。

　2001年2月、SSHプロトコル1 (SSH1)の特定の実装例の中にリモートに作為できるバッファのオーバーフローが発覚している。これは、アタッカーが脆弱なサーバー上で任意なコードを実行できる可能性を意味する(ID# 102381、2001年2月9日)。その後、インターネット上のホストに危害を加えることを意図した作為がいろいろ見られている。

情報ソース：
DShield.org Dec. 10, 2001
http://www.dshield.org
iDEFENSE Intelligence Operations, Nov. 30, 2001

分析：
(iDEFENSE米国)　2001年10月末にかけて、多数のセキュリティ組織はクライアントにTCPポート22のスキャンの増加を警告し始めている(ID# 106063、2001年10月31日)。さらに、最近の米国政府ウェブサイト2つが読み取れなくなった現象も、SSH1の脆弱性に起因しているものと思われる(ID# 106387、2001年11月30日)。

　iDEFENSEは、SSH1の脆弱性とそれに関連したスキャン上の問題に関するiALERT White Paperをhttp://www.idefense.com/ssh.htmlから発行した。この白書には、脆弱なSSH1サーバーを実行するシステムの危害の検出方法、暫定処置、ベンダー情報が記載されている。

　特定のポートのインターネット上でのスキャン件数の増加は、そのポートに関連付けられているサービスを作為するコードが配信されていることを意味する場合が多い。過去に、サーバーに根本的な危害を加える可能性のある脆弱性の拡がりが、大量に自動作為を行うワームの作成につながっていることが多数見られている。このようなシナリオの例には、Ramen、Code Red、1i0nのワームがある。このような事態が懸念されるネットワーク管理者は、自社内でこの脆弱性がインターネットに接続されているLinuxコンピュータに影響するかどうかを判断し、適正なベンダー修正を加え、SSH2にアップグレードするか、必要なければSSHを使用不可にすることを考慮されたい。

（詳しくはScan Daily EXpress本誌をご覧下さい）
http://vagabond.co.jp/vv/m-sdex.htm

※この情報はiDEFENSE社（ http://www.idefense.co.jp/ ）より提供いただいております。情報の内容は以下の時点におけるものです
【13:04 GMT、12、11、2001】