手元のサーバは大丈夫？ JPCERT/CCがフィッシング詐欺への悪用に警告

JPCERT/CCは、セキュリティ対策が不十分なサーバがフィッシング詐欺の偽装サイトに悪用されるケースが複数報告されているとし、注意と対処を呼びかけた。

[ITmedia]

　JPCERT/CCは2月21日、セキュリティ対策が不十分なサーバがフィッシング詐欺の偽装サイトに悪用されるケースが複数報告されているとし、手元のサーバの設定を改めて見直すよう呼びかけた。

　フィッシング詐欺は、金融機関やオンラインショッピングサイトのふりをする偽装サイトにユーザーをおびき寄せ、クレジットカード番号などの搾取を試みる詐欺だ。2月16日には、佐賀県地域産業支援センターが公開していたWebサイトが侵入を受け、フィッシングを目的とした英文の偽装サイトが開設されていたことが報告されている。

　JPCERT/CCには、このようにサーバがフィッシング詐欺の偽装サイトとして踏み台化されるケースがいくつか報告されているという。

　特に、Linux OSを採用し、OpenSSHもしくはtelnetdを用いてリモートアクセスを許可しており、インターネットに常時接続しているサーバが狙われ、侵入を受けて踏み台化されるケースが多数見受けられるということだ。OpenSSHやtelnetdの古いバージョンには、リモートからroot権限の奪取を可能にする深刻な脆弱性が存在していた。

　JPCERT/CCではこれを受けて、自社の管理下にあるWebサーバについて、

• 不要なサービスを停止する
• アクセス制御プログラムやルータのフィルタリング機能を利用し、サービスを提供する範囲を制限する
• システムの運用状態を監視する
• 最新版へのアップグレードやパッチの適用などのソフトウェア管理を行い、脆弱性の存在するバージョンを利用しない
• 容易に推測可能なパスワードを利用させず、不要になったアカウントは速やかに削除するなどユーザーアカウント管理を適切に行う

といった基本的な対策を行うよう呼びかけている。また、これら対策を取ることが困難な場合は、ネットワークからの切断という措置も考えるべきという。

　JPCERT/CCによると、これまでのところLinuxベースのホストが侵害を受けたケースが多く報告されているというが、同様の危険はUNIX系OSやMac OS X、Windowsなど他のプラットフォームにもつきまとう。常時インターネットに接続されているホストに関しては、同じように注意、対処が必要だとしている。

　また、仮に手元のサーバがフィッシング詐欺に悪用された疑いがある場合は、ログファイルの確認をはじめとするチェックを行うよう推奨。さらに、踏み台化された事実が確認された場合は、「コンピュータセキュリティインシデントへの対応」に沿って速やかに対処照するよう呼びかけている。