編集部からのお知らせ
「ZDNet Japan Summit」参加登録受付中! 
新着記事集:「負荷分散」

US-CERT、SSH鍵を使ったLinuxシステムへの攻撃を警告

文:Tom Espiner(ZDNet.co.uk) 翻訳校正:編集部

2008-08-28 16:12

 セキュリティアドバイス機関であるUS Computer Emergency Readiness Team(US-CERT)が、Secure Shell(SSH)暗号化プロトコルを利用したLinuxシステムへの攻撃について警告している。

 US-CERTは米国時間8月26日、盗んだSSH鍵を利用してLinuxカーネルへアクセスするとブログ投稿で述べている。その後、ローカルカーネルへのエクスプロイトを利用してルートシステムに侵入する。いったんルートアクセス権限を獲得すれば、侵入者はシステムを完全に乗っ取ることができる。

 US-CERTによると、攻撃者はシステムを乗っ取った後、Linuxカーネルに「phalanx2」というルートキットをインストールするという。このルートキットが他のSSH鍵を盗み、盗んだ鍵を攻撃者に送る仕組みだ。

 IT管理者は、隠れたプロセスを探したり、「ls」コマンドで表示されるディレクトリ数と「/etc」の参照カウント数とを照合したりすることで、攻撃されているかどうかを確認できるという。

 現時点では、IT管理者は「khubd.p2」という名称のディレクトリの存在を調べることでも確認できるという。「khubd.p2」は、lsコマンドでは表示されないが、「cd」コマンドをつかってアクセスできる。あるいは、攻撃に関係するファイルを含む可能性がある「/dev/shm/」を調べるという方法もあるという。だが、US-CERTは、ルートキットの設定変更により、攻撃を受けたかどうかを知るこれらの方法が通用しなくなる可能性もあると警告している。

 Sans Internet Storm Centerのセキュリティ専門家であるJohn Bambenek氏は、侵入のために使われたオリジナルの鍵の出所の1つは、5月に報告された「Debian」に存在する鍵の脆弱性だった可能性があると述べている。

 「鍵をアップデートもしくは変更していない場合、いますぐにすべきだ」とBambenek氏はブログ投稿で書いている。

 Bambenek氏は、この攻撃に対する防衛策の1つは、SSH鍵を使用するためにパスフレーズを要求することだとしている。IT管理者はまた、「Tripwire」や「Aide」ツールを使っても、phalanx2ルートキットが仕掛けられていないか確認することができる、と同氏は付け加えている。

この記事は海外CNET Networks発のニュースをシーネットネットワークスジャパン編集部が日本向けに編集したものです。海外CNET Networksの記事へ

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

特集

CIO

モバイル

セキュリティ

スペシャル

ホワイトペーパー

新着

ランキング

  1. クラウドコンピューティング

    Google Cloudセキュリティ基盤ガイド、設計から運用までのポイントを網羅

  2. セキュリティ

    仮想化・自動化を活用して次世代データセンターを構築したJR東日本情報システム

  3. ビジネスアプリケーション

    スモールスタート思考で業務を改善! 「社内DX」推進のためのキホンを知る

  4. セキュリティ

    Emotetへの感染を導く攻撃メールが多数報告!侵入を前提に対応するEDRの導入が有力な解決策に

  5. セキュリティ

    偽装ウイルスを見抜けず水際対策の重要性を痛感!竹中工務店が実施した2万台のPCを守る方法とは

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNet Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]