「複合型の脅威」と「SNMPのセキュリティホール」に注意〜X-Force担当者が語る

【国内記事】 2002.2.15

「2001年は,複数の手段を組み合わせ,しかも自動化された攻撃ツールが登場した初めての年だった」

 2月15日,NTTコミュニケーションズが開催した「不正アクセス対策カンファレンス」の中で,米インターネット・セキュリティ・システムズの不正アクセス研究チーム,X-Forceの部長を務めるクリス・ローランド氏はこのように語った。

 同氏が率いるX-Forceは,ISSのセキュリティ情報研究開発チームで,ソフトウェアの潜在的な脆弱性の検証やハッカーの動向,技術の研究を任務としている。つい先日明らかになったSNMPのセキュリティホールに関しても,オウル大学の報告を元に検証を行い,アラートを公開した。

 ローランド氏は講演の中で,ハッカー(攻撃者)が利用するツールがますます洗練され,また自動化が進んでいることに触れた。パスワードの盗聴を行うスニファ,SubSevenに代表されるバックドア,そしてDDoS(分散型サービス拒否攻撃)を仕掛けるゾンビなど,攻撃用ツールは多様化し,性能を高めているという。

 たとえば,DDoS攻撃ひとつ取っても,ゾンビを管理する技術はますます高度化している。チャットやインスタントメッセージを組み合わせ,ログインしている数百台のPCを操り,一斉にターゲットに対してDoSを仕掛けることも可能といい,不正アクセスが容易に行える素地が広まっていることを警告した。

 他に,今後注目すべきセキュリティ動向としては,複数のセキュリティ研究者が指摘し,また事実,昨年は最大の問題となった「複合型の脅威(Blended Thread)」への対策やワイヤレス環境におけるセキュリティ,さらにソフトウェアエンジニアリングの観点からは,バッファオーバーフローへ対策などが課題になるとした。

 最後に同氏は,インスタントメッセージソフトウェアとバックドアを組み合わせ,特定ユーザーのIPアドレスを探り出してネットワークに侵入できることをデモの形で紹介した。こうしていったん内部ネットワークへの侵入を許せば,本来データを盗聴から守るはずのVPNやSSHも悪用できてしまうという。ローランド氏は,「家庭からVPNを使って接続するマシンに注意することも重要だ」と述べている。

 一連の講演を踏まえ,「危険性はよく分かった。ではどうやってネットワークを守ればいいのか」という場内からの質問に,ローランド氏は「ISSのソリューションを使ってもらえれば」と冗談を飛ばす余裕を見せた。

 同氏は続けて,「まず重要なのは,脆弱点の検査,監査を行うこと。また,ハッキング用ツールはどんどん進歩を見せており,新たな脆弱性も発見されている。システムを守るためには,こうした最新の情報に合わせてフィックスを行うことも重要だ」と,場内に呼びかけた。

広範な影響を及ぼすSNMPのセキュリティホール

 とはいえ,私の見たところ,講演の中でローランド氏が最も力を入れて説明したのは,つい先日発見されたばかりのSNMPの脆弱性についてだ。同氏は,「火曜日に発見されたばかりのSNMPのセキュリティホールは,数十,数百というベンダーに影響を与える深刻なもの」と述べ,注意を呼びかけた。

 この問題はSNMPの実装に関わるものであり,しかもSNMPのBER(Basic Encoding Rules)やSNMPメッセージ/トラップの取り扱いなど,複数の弱点が存在している。

 この脆弱点を悪用すれば,ターゲットとなる機器をDoSによってクラッシュさせることができるだけでなく,特定の権限を奪取することができる。また,ブロードキャストアドレスを対象にすれば,広範な機器をまとめて攻撃できることから,万一悪用された場合,深刻な被害が出てしまうことは容易に予想できるという。

 だが,今のところ日本語で入手できる情報源は少なく,対応のためのパッチも速やかに公開されているとは言い難い状況だ。別途,デモンストレーションコーナーで確認したところ,「この問題が影響を及ぼす範囲は非常に広範であるため,おそらく各社とも,急いで確認・検証作業を進めているところではないか」という回答が得られた。

 したがって現時点では,不必要なホストやネットワーク機器でSNMPサービスを停止させ,またネットワークの境界でフィルタリングを行うことが最善の対策だといえるだろう。

SNMPの脆弱性に関し,日本語で提供されている情報(2月15日時点)
・IPA
広範囲に該当する SNMP の脆弱性について

・JPCERT/CC
SNMPv1 の実装に含まれる脆弱性に関する注意喚起

・インターネットセキュリティシステムズ
PROTOS リモート SNMP 攻撃ツール

・トリップワイヤ・ジャパン
SNMPの脆弱性からCisco機器を守るTripwire for Routers and Switches

・マイクロソフト
SNMPサービスに含まれる未チェックのバッファにより、任意のコードが実行される(MS02-006)

・ターボリナックス
ucd-snmp SNMPのサービス停止

・レッドハットリナックス
セキュリティアドバイス ucd-snmpパッケージのアップデート

・ヤマハ
SNMPv1セキュリティ問題について

・ミラクル・リナックス
「リモートユーザがroot権限を奪取」

その他,英語で提供されている情報(2月15日時点)

・米シスコシステムズ
Cisco Security Advisory:Malformed SNMP Message-Handling Vulnerabilities

Security Advisory:Malformed SNMP Message-Handling Vulnerabilities Cisco Non-IOS Products

・米サン・マイクロシステムズ
Sun Microystems Security Bulletin:#00215 snmpdx

関連リンク

▼NTTコミュニケーションズ

▼インターネットセキュリティシステムズ

[高橋睦美 ,ITmedia]