SSHプロトコルを標的にした「Terrapin攻撃」 インターネットのSSHサーバの半数以上が脆弱だと判明：セキュリティニュースアラート

The Shadowserver FoundationはSSHプロトコルを標的とする新しいサイバー攻撃手法「Terrapin攻撃」に対し、インターネット上のSSHサーバの約52％が脆弱だと発表した。

[後藤大地，有限会社オングス]

　The Shadowserver Foundationは2024年1月3日（現地時間、以下同）、「X」（旧Twitter）へのポストでインターネットに公開されているSSHサーバのうちユニークIPベースで1100万台が、SSHを標的とした新しいサイバー攻撃「Terrapin攻撃」に対して脆弱（ぜいじゃく）だと伝えた。これはインターネットに公開されているSSHサーバの52％ほどと推測されている。

SSHサーバの約52％がTerrapin攻撃に遭うリスク　日本の状況は？

　Terrapin攻撃はドイツのルール大学ボーフムの研究者らによって発見されたSSHプロトコルを標的とした新しい攻撃手法だ。コネクション初期段階のハンドシェイク中にシーケンス番号を調整してクライアントおよびサーバに気が付かれずにメッセージを削除するという中間者攻撃（MITM）の一種で、キーストロークの不明瞭化を無効化して弱い認証アルゴリズムを使用させるといったセキュリティの弱体化を引き起こすことが可能とされている。

　研究者らは2023年12月18日にTerrapin攻撃に関する情報を公開した。中間者攻撃として実施されるプレフィックス切り捨て攻撃の一種であり、OpenSSHはすでにこのサイバー攻撃に対応した「OpenSSH 9.6/9.6p1」を公開している。

　The Shadowserver Foundationは、SSHのこの脆弱性の影響を受けるインターネットに接続されたSSHサーバが約1100台存在していると指摘した。国別に見ると米国が約330万台で最も多く、これに中国（130万台）、ドイツ（100万台）、ロシア（70万台）、シンガポール（39万台）、日本（38万台）が続いている。

　Terrapin攻撃の実行には中間者攻撃が実施可能な環境にあるという前提条件が必要だ。また、認証付き暗号「ChaCha20-Poly1305」または「Encrypt-then-MAC」を使用した暗号モードであるCBCによる保護が確立された接続が必要だという条件もある。ただし、これらの暗号モードは広く採用されているため、中間者攻撃が実施可能な環境にさえあれば多くのSSHセッションに攻撃を仕掛けられる。

　Terrapin攻撃について発表したルール大学ボーフムの研究者らはサーバおよびクライアントの双方がこの問題が修正されたバージョンへアップデートするには数年が掛かると推測している。観測結果もこれを裏付けるように大量のSSHサーバが脆弱なバージョンを使っていることが示されている。