メールマガジン情報セキュリティ情報 バックナンバー

バックナンバー

【hyogo-sec No.390】外部からNAT-PMP の操作が可能である機器の探索行為について (配信日時:2014-10-31 10:55:05)

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
ひょうご情報セキュリティ推進会議事務局MM(2014年10月31日第390号)
(発行:ひょうご情報セキュリティ推進会議事務局)
http://www.hyogo-sec.jp
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

会員及び情報セキュリティサポータ 各位

平素は、当ひょうご情報セキュリティ推進会議の運営、及び情報セキュリティ
サポータ制度にご協力いただき、誠にありがとうございます。

▼▼▼本内容は、貴団体等の構成員にも周知いただくようお願いします。▼▼▼

■■(内容)
■━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━ 

  外部からNAT-PMP の操作が可能である不適切な実装の機器が多数存在する
 問題が報告されています。警察庁においても同機器の探索行為を観測してい
 るため、管理する機器の設定を確認することを推奨します。


 1 外部からNAT-PMP の操作が可能である機器が多数存在する問題について

  NAT-PMP(NAT Port Mapping Protocol)は、ルータ等のネットワーク機器
 において、LAN側に接続された機器からのリクエストに基づきアドレス及び
 ポートのマッピングを自動的に行うためのプロトコルです。このNAT-PMP に
 ついて、平成26 年 10 月21 日に米国のセキュリティ対策企業から、本来
 は受け付けてはならないWAN側からのリクエストを受け付けてしまう機器が
 多数存在しているとの報告が行われました。24 日には、JPCERT/CC からも
 日本語による注意喚起iが実施されています。
  NAT-PMP は、その仕様でWAN側から受信したリクエストを受け付けてはな
 らない等の制約が定められています。
  しかしながら、この制約を無視した不適切な実装がされている機器はWAN
 側からリクエストにより悪意ある操作が行われる可能性があります。
  NAT-PMP の外部からの操作により、次の様な攻撃が行われる可能性が指
 摘されています。

  ・トラフィックの誘導・傍受
  ・ LAN 側機器への不正なアクセス
  ・ NAT-PMP によるポートマッピングの運用妨害
  ・ WAN 側アドレスやマッピング済みポートの調査

  i 「JVNVU#99291862 複数の NAT-PMP デバイスが WAN 側から操作可能な問題」
   https://jvn.jp/vu/JVNVU99291862/
 
 
 2 警察庁での探索行為の観測状況

  警察庁の定点観測システムでは、29 日午前3時以降NAT-PMP で使用される
 ポート5351/UDP に対する不審なアクセスを観測しています。これらのアクセ
 スは、NAT- PMP においてWAN 側のIP アドレスを問い合わせる「External   
 Address Request」の通信でした。このことから、外部からNAT-PMP による操
 作が可能な機器の探索が実施されているものと考えられます。


 3 推奨する対策
  インターネットに接続しているルータ等のネットワーク機器において、以
 下の対策を実施することを推奨します。

 (1) WAN 側からの5351/UDP 宛の通信を制限する。

 (2) NAT-PMP を無効にする。

   ただし、NAT-PMP を使用しているLAN 側の機器の運用に支障がでる可能
   性があるので、影響については十分確認を実施する。

 (3) 製造メーカからのアップデートや推奨される設定変更等の情報の有無を
   確認し、公開されている情報がある場合には必要なアップデート等を実
   施する。

■━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■■

※本内容は、警察庁が提供するWebサイト「@police」から転載しております。

*******************************
ひょうご情報セキュリティ推進会議事務局

〒650-8567 神戸市中央区下山手通5丁目10-1
兵庫県企画県民部 情報企画課
TEL 078-341-7711(内線2164)
FAX 078-362-9027
e-mail johokikaku@pref.hyogo.lg.jp
HP http://www.hyogo-sec.jp
*******************************

【hyogo-sec No.389】UPnP に対応したネットワーク機器を踏み台としたSSDP リフレクター攻撃に対する注意喚起について (配信日時:2014-10-21 08:35:31)

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
ひょうご情報セキュリティ推進会議事務局MM(2014年10月21日第389号)
(発行:ひょうご情報セキュリティ推進会議事務局)
http://www.hyogo-sec.jp
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

会員及び情報セキュリティサポータ 各位

平素は、当ひょうご情報セキュリティ推進会議の運営、及び情報セキュリティ
サポータ制度にご協力いただき、誠にありがとうございます。

▼▼▼本内容は、貴団体等の構成員にも周知いただくようお願いします。▼▼▼

■■(内容)
■━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
 UPnP に対応したネットワーク機器を踏み台としたSSDP リフレクター攻撃に対
する注意喚起について

 UPnP(Universal Plug and Play)で使用されるプロトコルSSDP(Simple Serv
ice DiscoveryProtocol)を悪用したSSDP リフレクター攻撃を確認しています。
管理するネットワーク機器が攻撃の踏み台として悪用されないために対策を行う
ことを推奨します。

1 UDP を利用するプロトコルを悪用するリフレクター攻撃警察庁においては、D
NS やNTP といったUDP を利用するプロトコルを悪用するリフレクター攻撃(リ
フレクション攻撃)や、その踏み台として悪用可能なサーバ等の機器の探索行為
と考えられるアクセスの増加については、これまでも注意喚起iを実施してきた
ところです。
 警察庁では、ネットワーク機器同士の接続機能であるUPnP(Universal Plug
and Play)で使用されるプロトコルSSDP(Simple Service Discovery Protocol)
を悪用したSSDP リフレクター攻撃が行われた事例を確認しています。

i 「UDP を利用するプロトコルを悪用する各種リフレクター攻撃に対する注意喚
起について」(平成26 年7月11 日)
・http://www.npa.go.jp/cyberpolice/detect/pdf/20140711.pdf

2 UPnP に対応したネットワーク機器を踏み台としたSSDP リフレクター攻撃
(1) UPnP に対応したネットワーク機器の探索
 攻撃者は、攻撃の踏み台とするネットワーク機器の探索を行います。攻撃者は
SSDP で使用されるポート1900/UDP に対して機器情報の送信を要求する「M-SEAR
CH」というメッセージを送信し、その応答があるか否かで攻撃の踏み台とするネ
ットワーク機器を探索しています。
 この探索のアクセスについては、警察庁の定点観測システムにおいて、平成26
年9月上旬頃から増加を確認しています。
 ここで、攻撃者は「M-SEARCH」メッセージに応答を返すネットワーク機器、つ
まり、UPnPに対応し、かつ外部からのアクセスに対してFW(ファイアウォール)
によるアクセス制限等の対策が行われていないネットワーク機器をSSDP リフレ
クター攻撃の踏み台として悪用します。

(2) SSDP リフレクター攻撃
 攻撃者は、探索により発見したネットワーク機器を踏み台として悪用し、SSDP
リフレクター攻撃を行います。攻撃者は、踏み台とするネットワーク機器に対し
て、発信元を攻撃対象に偽装した「M-SEARCH」メッセージを送信します。踏み台
とされたネットワーク機器は、攻撃対象に対して応答を返しますが、攻撃者がこ
のメッセージを大量に送信すると、攻撃対象には大量のデータが送信されます。
 ネットワーク機器からの応答は、「M-SEARCH」メッセージのデータサイズより
大きくなるため、直接、攻撃者が攻撃対象にデータを送信するよりも、効率的に
データ送信を行うことができます。
 また、攻撃の踏み台とされたネットワーク機器についても、負荷が増大するた
め、正常な動作が妨害される可能性があります。

 警察庁では、平成26 年10 月上旬に対策が不十分なネットワーク機器を踏み台
として、特定のホストに対して攻撃が行われた事例を確認しています。今後も、
同様の手法を使用した攻撃が発生することが懸念されます。

3 SSDP リフレクター攻撃の踏み台とならないために推奨する対策
 管理するネットワーク機器が、SSDP リフレクター攻撃の踏み台として悪用さ
れないために、次の対策を実施することを推奨します。

(1) 外部からのSSDP プロトコルの通信(宛先ポート1900/UDP のパケット)をFW
により遮断する。
(2) ネットワーク機器のUPnP 機能を使用していない場合は、停止する。
(3) ネットワーク機器のUPnP 機能を使用する場合は、外部からの「M- SEARCH」
メッセージに対して、応答しない設定を行う。

■━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■■

※本内容は、警察庁が提供するWebサイト「@police」から転載しております。

*******************************
ひょうご情報セキュリティ推進会議事務局

〒650-8567 神戸市中央区下山手通5丁目10-1
兵庫県企画県民部 情報企画課
TEL 078-341-7711(内線2164)
FAX 078-362-9027
e-mail johokikaku@pref.hyogo.lg.jp
HP http://www.hyogo-sec.jp
*******************************

【hyogo-sec No.388】マイクロソフト社のセキュリティ修正プログラムについて(MS14-056,057,058,059,060,061,062,063) (配信日時:2014-10-16 10:17:27)

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
ひょうご情報セキュリティ推進会議事務局MM(2014年10月16日第388号)
(発行:ひょうご情報セキュリティ推進会議事務局)
http://www.hyogo-sec.jp
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

会員及び情報セキュリティサポータ 各位

平素は、当ひょうご情報セキュリティ推進会議の運営、及び情報セキュリティ
サポータ制度にご協力いただき、誠にありがとうございます。

▼▼▼本内容は、貴団体等の構成員にも周知いただくようお願いします。▼▼▼

■■(内容)
■━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
 マイクロソフト社のセキュリティ修正プログラムについて(MS14-056,057,058,
059,060,061,062,063)

 マイクロソフト社の製品において、脆弱性が公表されました。
 この脆弱性には、マイクロソフト社により定義された4段階の深刻度評価のう
ち、最上位の「緊急(Critical)」も含まれているので、該当するプログラムを使
用している場合は、今後の被害防止のために以下の対策を行うことをお勧めしま
す。

1 概要
(1) Internet Explorer に脆弱性が存在します。攻撃者により脆弱性が悪用され
た場合、リモートでコードが実行される可能性があります。(MS14-056)【緊急】

(2) .NET Framework に脆弱性が存在します。攻撃者により脆弱性が悪用された
場合、リモートでコードが実行される可能性があります。(MS14-057)【緊急】

(3) カーネルモードドライバーに脆弱性が存在します。攻撃者により脆弱性が悪
用された場合、リモートでコードが実行される可能性があります。(MS14-058)
【緊急】

(4) ASP.NET MVC に脆弱性が存在します。攻撃者により脆弱性が悪用された場合
、セキュリティ機能のバイパスが起こる可能性があります。(MS14-059)【重要】

(5) Windows OLE に脆弱性が存在します。攻撃者により脆弱性が悪用された場合
、リモートでコードが実行される可能性があります。(MS14-060)【重要】

(6) Microsoft Word および Office Web Apps に脆弱性が存在します。攻撃者に
より脆弱性が悪用された場合、リモートでコードが実行される可能性があります
。(MS14-061)【重要】

(7) メッセージキューサービスに脆弱性が存在します。攻撃者により脆弱性が悪
用された場合、特権が昇格される可能性があります。(MS14-062)【重要】

(8) FAT32 ディスクパーティションドライバーに脆弱性が存在します。攻撃者に
より脆弱性が悪用された場合、特権が昇格される可能性があります。(MS14-063)
【重要】

2 脆弱性を有するソフトウェア
 マイクロソフト社の情報によると、脆弱性の問題があるバージョンは以下のと
おりです。

上記(1)の脆弱性
・Internet Explorer 6
・Internet Explorer 7
・Internet Explorer 8
・Internet Explorer 9
・Internet Explorer 10
・Internet Explorer 11

上記(2)の脆弱性
・Microsoft .NET Framework 2.0 Service Pack 2
・Microsoft .NET Framework 3.5
・Microsoft .NET Framework 3.5.1
・Microsoft .NET Framework 4
・Microsoft .NET Framework 4.5/4.5.1/4.5.2

上記(3)の脆弱性
・Windows Server 2003 Service Pack 2
・Windows Server 2003 x64 Edition Service Pack 2
・Windows Server 2003 with SP2 for Itanium-based Systems
・Windows Vista Service Pack 2
・Windows Vista x64 Edition Service Pack 2
・Windows Server 2008 for 32-bit Systems Service Pack 2
・Windows Server 2008 for x64-based Systems Service Pack 2
・Windows Server 2008 for Itanium-based Systems Service Pack 2
・Windows 7 for 32-bit Systems Service Pack 1
・Windows 7 for x64-based Systems Service Pack 1
・Windows Server 2008 R2 for x64-based Systems Service Pack 1
・Windows Server 2008 R2 for Itanium-based Systems Service Pack 1
・Windows 8 for 32-bit Systems
・Windows 8 for x64-based Systems
・Windows 8.1 for 32-bit Systems
・Windows 8.1 for x64-based Systems
・Windows Server 2012
・Windows Server 2012 R2
・Windows RT
・Windows RT 8.1

上記(4)の脆弱性
・ASP.NET MVC 2.0
・ASP.NET MVC 3.0
・ASP.NET MVC 4.0
・ASP.NET MVC 5.0
・ASP.NET MVC 5.1

上記(5)の脆弱性
・Windows Vista Service Pack 2
・Windows Vista x64 Edition Service Pack 2
・Windows Server 2008 for 32-bit Systems Service Pack 2
・Windows Server 2008 for x64-based Systems Service Pack 2
・Windows Server 2008 for Itanium-based Systems Service Pack 2
・Windows 7 for 32-bit Systems Service Pack 1
・Windows 7 for x64-based Systems Service Pack 1
・Windows Server 2008 R2 for x64-based Systems Service Pack 1
・Windows Server 2008 R2 for Itanium-based Systems Service Pack 1
・Windows 8 for 32-bit Systems
・Windows 8 for x64-based Systems
・Windows 8.1 for 32-bit Systems
・Windows 8.1 for x64-based Systems
・Windows Server 2012
・Windows Server 2012 R2
・Windows RT
・Windows RT 8.1

上記(6)の脆弱性
・Microsoft Office 2007 Service Pack 3
・Microsoft Word 2007 Service Pack 3
・Microsoft Office 2010 Service Pack 1 (32 ビット版)
・Microsoft Word 2010 Service Pack 1 (32 ビット版)
・Microsoft Office 2010 Service Pack 2 (32ビット版)
・Microsoft Word 2010 Service Pack 2 (32 ビット版)
・Microsoft Office 2010 Service Pack 1 (64 ビット版)
・Microsoft Word 2010 Service Pack 1 (64 ビット版)
・Microsoft Office 2010 Service Pack 2 (64 ビット版)
・Microsoft Word 2010 Service Pack 2 (64 ビット版)
・Microsoft Office for Mac 2011
・Microsoft Office 互換機能パック Service Pack 3
・Microsoft SharePoint Server 2010 Service Pack 1上の
 Automation Services
・Microsoft SharePoint Server 2010 Service Pack 2 上の
 Automation Services
・Microsoft Office Web Apps Server 2010
・Microsoft Office Web Apps Server 2010 Service Pack 1
・Microsoft Office Web Apps Server 2010 Service Pack 2

上記(7)の脆弱性
・Windows Server 2003 Service Pack 2
・Windows Server 2003 x64 Edition Service Pack 2
・Windows Server 2003 with SP2 for Itanium-based Systems

上記(8)の脆弱性
・Windows Server 2003 Service Pack 2
・Windows Server 2003 x64 Edition Service Pack 2
・Windows Server 2003 with SP2 for Itanium-based Systems
・Windows Vista Service Pack 2
・Windows Vista x64 Edition Service Pack 2
・Windows Server 2008 for 32-bit Systems Service Pack 2
・Windows Server 2008 for x64-based Systems Service Pack 2
・Windows Server 2008 for Itanium-based Systems Service Pack 2

3 対策
 マイクロソフト社のサイト(4 関連サイト参照)から適切なパッチをダウンロー
ドし、適用してください。
 パッチの適用作業は、利用するアプリケーションへの影響を考慮した上で行っ
てください。

4 関連サイト
・マイクロソフト セキュリティ情報 MS14-056 - 緊急
 https://technet.microsoft.com/ja-JP/library/security/ms14-056.aspx
・マイクロソフト セキュリティ情報 MS14-057 - 緊急
 https://technet.microsoft.com/ja-JP/library/security/ms14-057.aspx
・マイクロソフト セキュリティ情報 MS14-058 - 緊急
 https://technet.microsoft.com/ja-JP/library/security/ms14-058.aspx
・マイクロソフト セキュリティ情報 MS14-059 - 重要
 https://technet.microsoft.com/ja-JP/library/security/ms14-059.aspx
・マイクロソフト セキュリティ情報 MS14-060 - 重要
 https://technet.microsoft.com/ja-JP/library/security/ms14-060.aspx
・マイクロソフト セキュリティ情報 MS14-061 - 重要
 https://technet.microsoft.com/ja-JP/library/security/ms14-061.aspx
・マイクロソフト セキュリティ情報 MS14-062 - 重要
 https://technet.microsoft.com/ja-JP/library/security/ms14-062.aspx
・マイクロソフト セキュリティ情報 MS14-063 - 重要
 https://technet.microsoft.com/ja-JP/library/security/ms14-063.aspx

■━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■■

※本内容は、警察庁が提供するWebサイト「@police」から転載しております。

*******************************
ひょうご情報セキュリティ推進会議事務局

〒650-8567 神戸市中央区下山手通5丁目10-1
兵庫県企画県民部 情報企画課
TEL 078-341-7711(内線2164)
FAX 078-362-9027
e-mail johokikaku@pref.hyogo.lg.jp
HP http://www.hyogo-sec.jp
*******************************

【hyogo-sec No.387】アドビシステムズ社の Adobe Flash Player のセキュリティ修正プログラムについて (配信日時:2014-10-16 10:16:38)

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
ひょうご情報セキュリティ推進会議事務局MM(2014年10月16日第387号)
(発行:ひょうご情報セキュリティ推進会議事務局)
http://www.hyogo-sec.jp
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

会員及び情報セキュリティサポータ 各位

平素は、当ひょうご情報セキュリティ推進会議の運営、及び情報セキュリティ
サポータ制度にご協力いただき、誠にありがとうございます。

▼▼▼本内容は、貴団体等の構成員にも周知いただくようお願いします。▼▼▼

■■(内容)
■━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
 アドビシステムズ社の Adobe Flash Player のセキュリティ修正プログラムに
ついて

 アドビシステムズ社の Adobe Flash Player において、システムが攻撃者に制
御される恐れのある脆弱性が公表されました。
 今後の被害防止のために、以下のサイトを参照し、対策を検討することをお勧
めします。

1 脆弱性を有するソフトウェア
 アドビシステムズ社の情報によると、脆弱性の問題があるバージョンは以下の
とおりです。
・Adobe Flash Player 15.0.0.167 及び それ以前
・Adobe Flash Player 13.0.0.244 及び それ以前の13.x
・Adobe Flash Player 11.2.202.406 及び それ以前(Linux用)

2 対策
 アドビシステムズ社のサイト(3 関連サイト参照)から、Adobe Flash Player
を最新バージョンにアップデートしてください。
 更新作業は、利用するアプリケーションへの影響を考慮した上で行ってくださ
い。

3 関連サイト
・Adobe Security Bulletin : APSB14-22(英語)
http://helpx.adobe.com/security/products/flash-player/apsb14-22.html

■━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■■

※本内容は、警察庁が提供するWebサイト「@police」から転載しております。

*******************************
ひょうご情報セキュリティ推進会議事務局

〒650-8567 神戸市中央区下山手通5丁目10-1
兵庫県企画県民部 情報企画課
TEL 078-341-7711(内線2164)
FAX 078-362-9027
e-mail johokikaku@pref.hyogo.lg.jp
HP http://www.hyogo-sec.jp
*******************************

【hyogo-sec No.386】Bash の脆弱性を標的としたアクセスの観測について(第2報) (配信日時:2014-10-08 10:59:35)

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
ひょうご情報セキュリティ推進会議事務局MM(2014年10月8日第386号)
(発行:ひょうご情報セキュリティ推進会議事務局)
http://www.hyogo-sec.jp
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

会員及び情報セキュリティサポータ 各位

平素は、当ひょうご情報セキュリティ推進会議の運営、及び情報セキュリティ
サポータ制度にご協力いただき、誠にありがとうございます。

▼▼▼本内容は、貴団体等の構成員にも周知いただくようお願いします。▼▼▼

■■(内容)
■━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
 Bash の脆弱性を標的としたアクセスの観測について(第2報)

 Bash の脆弱性が公開されたことにより、警察庁においても攻撃を試行したと
思われるパケットを含むアクセスを継続して観測しています。中には、バックド
アやボットの生成の試みも観測されていることから、脆弱性に対する速やかな対
策が必要です。

1 Bash の脆弱性を標的としたアクセスの観測について
 警察庁の定点観測システムでは、平成26 年9月24 日に明らかとなったBash
(Bourne-AgainShell)の深刻な脆弱性を標的としたアクセスを25 日午前5時以
降観測iしています。
 当初は、脆弱性が存在する機器を探索するアクセスのみで、明確に攻撃を意図
したものは観測されませんでした。しかしながら26 日以降、攻撃を試行したと
思われるアクセスを観測するようになりました。10 月以降は、観測されるアク
セスは減少していますが、不特定多数に対するアクセスが減少しただけであり、
脆弱性が存在する機器に標的を絞った攻撃は依然として行われている可能性が
あります。

2 攻撃を試行したと思われるアクセスについて
 警察庁では、主にウェブサーバ上のトップページ並びにサーバ及びNASiiを管
理するためのページ(以下「管理画面」という。)等に対する攻撃を試行したと
思われるアクセスを観測しました。ここで対象となったトップページや管理画面
は、CGI 等の動的なウェブページであり、Bash を通してコマンドを実行する機
能を持つものであると考えられます。


i 「Bash の脆弱性を標的としたアクセスの観測について」(平成26 年9月25
日)
http://www.npa.go.jp/cyberpolice/detect/pdf/20140925-2.pdf
ii Network Attached Storage のことで、ネットワークに直接接続し、コンピュ
ータ等から利用できる外部記憶装置のこと、管理はウェブサーバを利用しブラウ
ザ上で行うことができるものもあります。


 攻撃者は、実行を企図するコマンドを含む細工されたリクエストをサーバに送
りつけることにより、Bash の脆弱性を利用してコマンドを実行しようと試みて
います。攻撃者から送信されたリクエストについては、以下のようなものを確認
しています。

 OS 情報の取得に示すコマンド(uname -a)は、OS のバージョンやシステム名
等のOS 情報を取得するものです。また、ファイルのダウンロード・保存に示す
コマンドは、外部のサーバ上に存在するファイルをダウンロード(wget)し、ウ
ェブサーバの公開ディレクトリに保存するというものです。同ファイルを確認す
ると、外部からの指令により任意の対象にDoS 攻撃を実行するものでした。
 これらのリクエストは、あくまでも一例であり、警察庁においては、他にも多
数の攻撃リクエストを確認しています。

 警察庁において観測されたBash の脆弱性を標的としたアクセスは、80/TCP、8
080/TCP 及び10000/TCP に対して行われていました。
 80/TCP は、ウェブページを閲覧する時に通常使用されるポート番号で、ほと
んどのアクセスは、このポート番号を使用して行われていました。この中には、
ボットの生成を試みるものも観測されました。
 8080/TCP に対するアクセスの中には、NAS へのバックドア生成を試みている
ものがあり、サーバコンピュータだけではなく、インターネットに接続されたネ
ットワーク機器も攻撃の対象となっていることが伺えます。
 10000/TCP は、サーバ管理ソフトウェアWebmin が初期設定で使用するポート
で、このポートへのアクセスは、Webmin が稼動している機器に対して、攻撃を
試みているものであると思われます。

3 宛先ポート10000/TCP に対するアクセスの増加について
 Bash の脆弱性が公表されて以降、特に10000/TCP について、急増が確認され
ました。これは、Webmin が稼動している機器を探索しているものと考えられま
す。Webmin が稼動していることが確認できた場合には、Bash の脆弱性を利用し
た攻撃に遷移する目的で探索を実施している可能性が考えられます。
 80/TCP 及び8080/TCP は、平素から観測されるパケットですが、Bash の脆弱
性が公表されてから、わずかに増加しており、Bash の脆弱性を標的としたアク
セスの影響があったと考えられます。
 Bash の脆弱性を直接標的としたアクセスは減少しているものの、脆弱性を抱
える機器の探索行為は活発に継続している可能性も考えられることから、依然と
して注意が必要な状況です。

4 推奨する対策
 Bash の脆弱性が利用されると、取り上げた事例以外にも、ウェブサイトの改
ざんや、情報窃取等の重大な被害を及ぼす可能性が考えられます。このことから
も、早急に対策を行うことが必要となります。一部再掲になりますが、推奨する
対策は、以下のとおりです。

(1) 影響を受ける機器の確認
 OS 開発元等が公開している情報を参照して、管理する機器のなかに当該脆弱
性の影響を受けるBash を使用しているものが存在しないか確認を実施してくだ
さい。また、NAS や無線LAN ルータ等のネットワーク機器の中にも当該脆弱性の
影響を受ける製品があるので、製造元の情報を確認して下さい。

(2) 当該脆弱性を狙った攻撃が行われる可能性の確認
 影響を受ける機器については、SSH やHTTP 等により、ネットワーク経由で当
該脆弱性を狙った攻撃を受ける可能性の有無について確認を実施してください。
 対象機器が外部から直接ネットワーク経由でアクセスすることができなくても
、当該機器にアクセス可能な内部ユーザを細工されたウェブサイトに誘導するこ
とにより、攻撃が可能となる旨の指摘もなされています。このことから、内部ネ
ットワークからの攻撃の可能性についても考慮する必要があります。

(3) 当該脆弱性に対する対応の実施
 影響を受ける機器が、当該脆弱性を狙った攻撃を受ける可能性があることが判
明した場合には、当該脆弱性への対応が必要となります。

ア 修正パッチの適用
 当該脆弱性については、修正パッチが公開されているため、パッチの適用作業
を実施することを推奨します。
 なお、当該脆弱性は複数回iに亘り公表されており、対応状況はOS や製品によ
り異なるため、随時確認する必要があります。

イ 他のシェルの代替使用
 可能な場合は、Bash ではなく、他のシェルを代替使用することを検討してく
ださい。

ウ アクセス制限の実施
 不特定多数のユーザが使用する必要のない機器については、特定のIP アドレ
スやユーザのみにアクセスを許可する適切なアクセス制限の実施を検討してくだ
さい。

エ フィルタリングの実施
 脆弱性を狙ったアクセスに対するフィルタリングを検討してください。

オ ウィルス対策ソフトのパターンファイル更新
 当該脆弱性を利用した不正プログラムが報告されています。インストールされ
ているウィルス対策ソフトのパターンファイルを最新のものにすることにより攻
撃の影響を回避できる可能性があります。


i 共通脆弱性識別子CVE-2014-6271、CVE-2014-7169、CVE-2014-2014-7186、CVE-
2014-7187、CVE-2014-
6277、CVE-2014-6278 として公表されています。
参照「GNU bash の脆弱性に関する注意喚起」(平成26 年9月25 日、JPCERT コ
ーディネーションセンター)
https://www.jpcert.or.jp/at/2014/at140037.html

■━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■■

※本内容は、警察庁が提供するWebサイト「@police」から転載しております。

*******************************
ひょうご情報セキュリティ推進会議事務局

〒650-8567 神戸市中央区下山手通5丁目10-1
兵庫県企画県民部 情報企画課
TEL 078-341-7711(内線2164)
FAX 078-362-9027
e-mail johokikaku@pref.hyogo.lg.jp
HP http://www.hyogo-sec.jp
*******************************
 
 
Copyright(C) Hyogo Prefecture 2005-2013 All rights reserved.