SSHプロトコルを狙う新たな攻撃手法「Terrapin攻撃」を研究者が公表：セキュリティニュースアラート

SSHを標的とした新しいサイバー攻撃手法「Terrapin攻撃」が公表された。中間者攻撃として実施されるプレフィックス切り捨て攻撃の一種とされている。

[後藤大地，有限会社オングス]

　ドイツのルール大学ボーフムの研究者らは2023年12月18日（現地時間）、「Terrapin攻撃」と呼ばれるSSHを標的とした新しいサイバー攻撃手法を公表した。この攻撃は中間者攻撃（MITM）の一種でSSHプロトコルを標的にしている。

Terrapin Attack（出典：ルール大学ボーフムによるTerrapin Attackを紹介するWebサイト）

SSHを狙う新しい中間者攻撃「Terrapin攻撃」とは

　SSHはリモートから安全に対象となるホストに接続してログインするために使われるプロトコルだ。幾つかの実装系が存在しており、リモートから作業をする際に利用される方法として広く普及している。

　攻撃の概要は「Terrapin Attack」にまとめられている他、論文「Terrapin Attack: Breaking SSH Channel Integrity By Sequence Number Manipulation」において詳細に解説されている。

　Terrapin攻撃は、中間者攻撃として実施されるプレフィックス切り捨て攻撃の一種とされており、SSHプロトコルを標的としている。コネクションの初期段階で実行されるハンドシェイク中にシーケンス番号を注意深く調整することでクライアントおよびサーバの双方に気付かれることなく送信された任意サイズのメッセージを削除するという手段を取っている。この手段を取ることでキーストロークの不明瞭化を無効化したり弱い認証アルゴリズムを使わせたりといったダウングレードを強制できるという。

　今回の手法では「Pythonパッケージ」の「AsyncSSH」に幾つかの脆弱（ぜいじゃく）性が見つかっており、Terrapin攻撃を使用することでサイバー攻撃者はユーザーに気付かれることなく別のアカウントにログインさせることが可能とされている。

　ただし、このサイバー攻撃を実行するには中間者攻撃が実施可能な環境にあることと、認証付き暗号「ChaCha20-Poly1305」または「Encrypt-then-MAC」を使用した暗号モードであるCBCによる保護が確立された接続が必要という条件がある。これらの暗号モードはすでに広く採用されているため、中間者攻撃が実施可能な環境にさえあれば多くのSSHセッションに攻撃を仕掛けられると考えられている。

　SSHのサーバやクライアントがこのサイバー攻撃に対して脆弱かどうかをチェックするコンソールアプリケーション「Terrapin Vulnerability Scanner」が「GitHub」で提供されている。なお、このサイバー攻撃に対してはサーバとクライアントの双方をアップデートすることが求められており、解決までには数年かかると推測されている。

　Terrapin攻撃への対応を含む「OpenSSH 9.6/9.6p1」は既に公開済みだ。OpenSSHはこのサイバー攻撃による影響は限定的であると評価し緊急の対応は求めていないが、必要に応じてアップデートするように呼びかけている。