脆弱なSSH鍵を攻撃して力ずくで暗号を解読してしまうスクリプトが出回っている。
OpenSSHなどの暗号化に使われるOpenSSLライブラリに脆弱性が見つかった問題で、この脆弱性を突いてブルートフォース攻撃を仕掛けるスクリプトが出回っている。US-CERTやSANS Internet Storm Centerは早期にSSH鍵を生成し直すよう勧告。DebianとUbuntuもアドバイザリーを公開し、対処方法を紹介している(関連記事参照)。
US-CERTによると、脆弱性はSSLとSSH暗号鍵の生成に使われる乱数ジェネレータに存在し、2006年9月17日以降に生成された暗号鍵が影響を受ける。問題を悪用されるとリモートの認証を受けない攻撃者が情報を盗み出すことが可能になる。
SANS Internet Storm Centerによれば、この問題を自動的に悪用するスクリプトが公開され、脆弱な暗号鍵を攻撃して力ずくで暗号を解読するブルートフォース攻撃に使われている。攻撃を受ければ簡単に暗号が破られてしまう恐れがあるという。
Debian/Ubuntuで生成された脆弱性のある公開鍵を使っているSSHサーバにとって、極めて深刻な脅威だとSANSは指摘。Debianチームは脆弱な鍵を検出できるツールを公開しており、こうしたツールやDebian、Ubuntuアドバイザリーに従って、できるだけ早期に対処するよう促している。
Copyright © ITmedia, Inc. All Rights Reserved.