プリント用表示 | ブログに書く by kwout |

古いOpenSSHが攻撃のターゲットに、JPCERT/CCが注意喚起

JPCERT/CCによると、脆弱性が残ったままの古いOpenSSHを用いているサーバが攻撃を受けたケースが複数報告されているという。

[高橋睦美,ITmedia]

 JPCERTコーディネーションセンター(JPCERT/CC)は3月9日、OpenSSHの脆弱性を悪用したシステム侵入事件が複数報告されていることを受け、注意を喚起する文書を公開した。

 OpenSSHは、安全なリモートアクセスを行うためのオープンソースのプログラムで、サーバ管理などに幅広く用いられている。しかし過去には何度か、リモートから悪用でき、管理者権限の奪取まで可能な深刻な脆弱性が発見されていた(関連記事)

 脆弱性を修正した最新版「OpenSSH 3.9」もしくは「同3.9p1」を用いている場合には問題はない。しかしJPCERT/CCによると、古いバージョンを利用し続けている場合、これら既知の脆弱性が攻撃され、システムへの侵入を許すケースが多数見られるという。中には、ただ侵入されるだけでなく、フィッシング詐欺を仕掛ける踏み台サーバに転用(悪用)されるケースも報告されているという(2006年5月16日追記:脆弱性が修正されたバージョンはOpenSSH 3.7.1および3.7.1p2以降となります。お詫びして訂正いたします)。

 JPCERT/CCはこれを踏まえ、OpenSSHを利用しているユーザーに3つの事柄を確認するよう勧めている。

 1つは、手元で利用しているOpenSSHのバージョンを確認し、もし古いものを用いている場合は速やかに最新版へアップグレードすること。合わせて、リモートからあらゆるアクセスを許可するのではなく、IPアドレスやホスト名などを用いてアクセス可能なホストを制限すべきという。さらに、OpenSSHの認証方法についても、「UNIXパスワード認証」ではなく「公開鍵認証」や「S/Key認証」などの他の方式を用いるべきとしている。

 仮に、最新版へのアップグレードといった対策を講じるのが難しい場合は、当該ホストをネットワークから切り離したり、対策を取れるようになるまでOpenSSHサービスをいったん停止するといった回避策を検討してほしいという。

 JPCERT/CCはさらに、文書の中でOpenSSHおよびサーバ運用の留意点をまとめたドキュメントへのポインタを示し、サーバの堅牢化に役立ててほしいとしている。

関連記事

関連リンク

Copyright© 2010 ITmedia, Inc. All Rights Reserved.




PR
PR

キャリアアップ



オンライン・ムックPlus

点検:ストレスなきデジタル情報整理術――紙とデジタルの調和
一歩先を行く PCとケータイを使った整理術(3/19 更新)

世界で勝つ 強い日本企業のつくり方
世界で勝つにはキャッシュの管理が不可欠 (2/26 更新)

IT投資の新方程式
「こんなこと聞いたら怒られるかも、って心配はない」――現役MS社員が“社員力”を語る(2/12 更新)

プライベートクラウド化を成功させる「現実解」
ファーファが語る?――IT基盤が標準化される安心感(2/19 更新)

クラウド時代のデータべース新潮流
オラクルが提示するデータベースの未来形(11/18 更新)

現場で効くデータ活用と業務カイゼン
導入事例:FileMakerで作る業務システム、成功の秘訣はSIerとの「二人三脚」(2/22 更新)

勝ち残る企業のWebプロモーション
ネットの風評を“良き”流れに転換する方法(3/19 更新)

企業IT最適化のゴールを目指す
APサーバを問わずJavaアプリケーションを動かすには?(12/8 更新)

企業価値を向上させるIT基盤構築
日本のクラウド市場の現状とクラウドの価値へのフォーカス(3/17 更新)

エンタープライズ・ピックアップ

news008.jpg クラウドがもたらす本当のメリット:日本のクラウド市場の現状とクラウドの価値へのフォーカス
クラウドに関する企業ユーザーの声は厳しい。それが何を意味するのかがいまだ分かりにくく、まして何を提供してどのような利便性が生まれるのかの説明がなされていないからである。クラウドがもたらす変化や体験を正しく伝え、理解されることが、本当のクラウドを企業へ推進することにつながるのである。

news008.jpg 点検 ストレスなきデジタル情報整理術:「残業ゼロ」に向けて社員の能力を引き出す方法――元トリンプ社長の吉越氏
業務の生産性向上や効率化などの課題を解決するには、ITの活用に加えて、社員が活力を維持できることも重要になる。ストレスのない働き方を実現していくためのポイントを、「残業ゼロの仕事術」で知られる元トリンプ・インターナショナル・ジャパン社長の吉越浩一郎氏に聞いた。

news040.jpg 戦略コンサルタントの視点:無料化するクラウド、潜む落とし穴
戦略コンサルティングファーム独ローランド・ベルガーに、情報システムの新たな姿について寄稿してもらう。4回目は、クラウドコンピューティングの落とし穴について解説する。

news013.jpg ITmedia リサーチインタラクティブ 第5回調査:Google Appsへの期待が鮮明に――変わる企業の情報共有基盤
電子メールやスケジュール管理などの機能を持つコミュニケーションツールの入れ替え時期が迫っている。10年前に導入した企業が約4割に上り、今後の導入においてはGoogle Appsへの期待が高まっている。ITmedia エンタープライズとITRが実施した読者調査から、企業の情報共有基盤に対するニーズの変化を明らかにする。

news011.jpg ドジっ娘リーダー奮闘記:年上の男の子
年功序列型の組織ではあまり存在しなかった立場と年齢の逆転が実力主義の現在では当たり前になり、若いリーダーが年上のメンバーとの関係に戸惑うことが多いようです。今日は年上のメンバーへの接し方を、しんこちゃん&春美ちゃんの新米リーダーペアとともに学びましょう。


利用規約 | プライバシーポリシー | 広告案内 | サイトマップ | お問い合わせ
運営会社 | 採用情報 | IR情報

ITmediaITmedia NewsプロモバITmedia エンタープライズITmedia エグゼクティブTechTargetジャパン
+D+D LifeStyle+D PC USER+D Mobile+D ShoppingGamezOneTopi
@IT@IT情報マネジメント@IT MONOist@IT自分戦略研究所JOB@IT
Business Media 誠誠 Biz.IDEE Times環境メディアBARKSzoome