Tips記事
» 2002年08月07日 00時00分 UPDATE

OpenSSHに仕掛けられたトロイの木馬を判別するには?

[木田佳克,ITmedia]

 2002年8月2日に各メディアから広く報じられたように、7月30〜31日にかけてftp.openssh.com、およびftp.openbsd.orgサイトからソースコードのOpenSSHをダウンロードした場合、該当ファイルにはトロイの木馬が仕掛けられている事実が発表された。

 8月1日13時には正当なバージョンに戻されたものの、該当する可能性のある管理者には、インストール元ファイルの整合性を確認するよう強くすすめられる。

 以下は、該当するファイルかどうかを判別するためのチェック方法だ。

表■正常なMD5チェックサム

チェックサム値 ファイル名
459c1d0262e939d6432f193c7a4ba8a8 openssh-3.4p1.tar.gz
d5a956263287e7fd261528bb1962f24c openssh-3.4p1.tar.gz.sig
39659226ff5b0d16d0290b21f67c46f2 openssh-3.4.tgz
9d3e1e31e8d6cdbfa3036cb183aa4a01 openssh-3.2.2p1.tar.gz
be4f9ed8da1735efd770dc8fa2bb808a openssh-3.2.2p1.tar.gz.sig

 トロイの木馬が仕掛けられているソースコードのアーカイブでは、次のようなMD5チェックサム値になる。

3ac9bc346d736b4a51d676faa2a08a57 openssh-3.4p1.tar.gz

 以上に挙げた、MD5チェックサム値を正常なものと比較するのが手始めである。確認方法は簡単だ。次のように「md5sum」コマンドを利用し、アーカイブファイルを指定すればよい。

# which md5sum
/usr/bin/md5sum

# md5sum openssh-3.4p1.tar.gz
459c1d0262e939d6432f193c7a4ba8a8 openssh-3.4p1.tar.gz

 なお、自分がダウンロードしたファイルが直接は該当しないものの心配な場合は、現在本家サイト(http://www.openssh.com/)で配布されているものをダウンロードして比較してみるとよいだろう。

 万が一該当された場合には、コンパイル時点で感染されることが報じられているため、OSの再インストールが最善の策だと思われる。

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ