SSHプロトコルを標的にした「Terrapin攻撃」 インターネットのSSHサーバの半数以上が脆弱だと判明:セキュリティニュースアラート
The Shadowserver FoundationはSSHプロトコルを標的とする新しいサイバー攻撃手法「Terrapin攻撃」に対し、インターネット上のSSHサーバの約52%が脆弱だと発表した。
The Shadowserver Foundationは2024年1月3日(現地時間、以下同)、「X」(旧Twitter)へのポストでインターネットに公開されているSSHサーバのうちユニークIPベースで1100万台が、SSHを標的とした新しいサイバー攻撃「Terrapin攻撃」に対して脆弱(ぜいじゃく)だと伝えた。これはインターネットに公開されているSSHサーバの52%ほどと推測されている。
SSHサーバの約52%がTerrapin攻撃に遭うリスク 日本の状況は?
Terrapin攻撃はドイツのルール大学ボーフムの研究者らによって発見されたSSHプロトコルを標的とした新しい攻撃手法だ。コネクション初期段階のハンドシェイク中にシーケンス番号を調整してクライアントおよびサーバに気が付かれずにメッセージを削除するという中間者攻撃(MITM)の一種で、キーストロークの不明瞭化を無効化して弱い認証アルゴリズムを使用させるといったセキュリティの弱体化を引き起こすことが可能とされている。
研究者らは2023年12月18日にTerrapin攻撃に関する情報を公開した。中間者攻撃として実施されるプレフィックス切り捨て攻撃の一種であり、OpenSSHはすでにこのサイバー攻撃に対応した「OpenSSH 9.6/9.6p1」を公開している。
The Shadowserver Foundationは、SSHのこの脆弱性の影響を受けるインターネットに接続されたSSHサーバが約1100台存在していると指摘した。国別に見ると米国が約330万台で最も多く、これに中国(130万台)、ドイツ(100万台)、ロシア(70万台)、シンガポール(39万台)、日本(38万台)が続いている。
Terrapin攻撃の実行には中間者攻撃が実施可能な環境にあるという前提条件が必要だ。また、認証付き暗号「ChaCha20-Poly1305」または「Encrypt-then-MAC」を使用した暗号モードであるCBCによる保護が確立された接続が必要だという条件もある。ただし、これらの暗号モードは広く採用されているため、中間者攻撃が実施可能な環境にさえあれば多くのSSHセッションに攻撃を仕掛けられる。
Terrapin攻撃について発表したルール大学ボーフムの研究者らはサーバおよびクライアントの双方がこの問題が修正されたバージョンへアップデートするには数年が掛かると推測している。観測結果もこれを裏付けるように大量のSSHサーバが脆弱なバージョンを使っていることが示されている。
関連記事
- SSHプロトコルを狙う新たな攻撃手法「Terrapin攻撃」を研究者が公表
SSHを標的とした新しいサイバー攻撃手法「Terrapin攻撃」が公表された。中間者攻撃として実施されるプレフィックス切り捨て攻撃の一種とされている。 - Oktaが一連のサイバー攻撃について“猛省” セキュリティ文化の変革を宣言
Oktaは一連のサイバー攻撃への対処について、同社の決算報告会で改善することを誓い、セキュリティの甘さにつながる文化の変革に乗り出すとした。その具体的な取り組みとは。 - 今度は「ownCloud」で発生 ファイル転送サービスを狙うサイバー攻撃が相次ぐ
ファイル転送サービスは格好の標的であり、ownCloudの脆弱性は、重要なファイル転送サービスに対する一連のサイバー攻撃における最新の例だ。 - 悪意のあるプロンプト作成がサービス化? ウィズセキュアが2024年の動向予測
ウィズセキュアは2024年におけるサイバー脅威を取り巻く環境に関する予測コメントを発表した。サイバー犯罪の専門化やAIを悪用した攻撃の進歩についてまとめている。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.