SNMPv2に対応し、コミュニティ名が「public」に設定されている機器への不審なリクエストが急増している。
警察庁は、10月中旬頃からSNMPを悪用した「SNMPリフレクター攻撃」が目的とみられるアクセスの増加を確認したとして、注意を呼び掛けている。
警察庁の観測によると、SNMPが使用する161/UDPポートに対するアクセスが現在まで増加傾向をみせる。これらのアクセスは、SNMP対応機器から複数の管理データ(MIB)を取得するための「GetBulkRequest」によるリクエストで、SNMPv2に対応し、コミュニティ名が初期値の「public」に設定されている機器が対象になっているという。
アクセスは一部のセンサーでは全く観測されておらず、警察庁は攻撃者が事前に何らかのスキャンを行って攻撃の踏み台となる機器を選定し、アクセスをしていると推測する。
具体的には、まず攻撃者が発信元のIPアドレスを攻撃対象のIPアドレスに詐称し、踏み台にしたSNMP対応機器へアクセスする。さらに、SNMP対応機器から攻撃対象のIPアドレスへ大量の送信させて、攻撃対象のIPアドレスを持つシステムをダウンさせる狙いがあるとみられる。観測されたアクセスは、GetBulkRequestによって取得するMIBの数が「2250」にセットされているなどの共通点が認められたという。
警察庁は、IT管理者に対して自組織のネットワーク機器がこの攻撃の踏み台にならないよう以下の対策を推奨している。
Copyright © ITmedia, Inc. All Rights Reserved.