検索
ニュース

OpenSSHの設定に不備、ブルートフォース攻撃を容易にする恐れ公開鍵認証の利用を推奨

UNIXやLinux系システムで広く利用されているリモートアクセスソフトウエア「OpenSSH」に、リモートから多数のログイン試行を可能にする、つまりブルートフォース攻撃を許してしまう問題が指摘された。

Share
Tweet
LINE
Hatena

 UNIXやLinux系システムで広く利用されているリモートアクセスソフトウエア「OpenSSH」に、設定上の不備によって、リモートから多数のログイン試行を可能にしてしまう脆弱性が指摘されている。

 OpenSSHではログインする際に、パスワード認証や公開鍵認証など複数の認証方式が用意されている。総当たり攻撃(ブルートフォース攻撃)のリスクを避けるには、公開鍵認証などより強固な方式が望ましい。だが何らかの理由でパスワード認証を採用する際には、一定回数以上誤ったパスワードを入力すると、セッションが終了する仕組みを取ることで総当たり攻撃に備えることが推奨される。この回数は、デフォルトではsshd側では6回に設定されている。

 しかし、Kingcopeと名乗るセキュリティ研究者が2015年7月16日に投稿したブログによると、「keyboard-interactive authentication」を有効にしている場合、「LoginGraceTime」で設定されているログイン制限時間の間、この試行回数を超えてパスワード入力を試すことが可能という。LoginGraceTimeはデフォルトでは120秒に設定されている。つまり、仮に弱いパスワードが設定されていれば、ツールなどを用いて総当たりでパスワードを試し、不正にログインする余裕を与えてしまう恐れがある。

 この研究者によると、影響を受けるのは、先日リリースされた6.9も含め既存のOpenSSHのバージョン全てとなっている。ただし攻撃が成立するかどうかは設定により、keyboard-interactive authenticationを無効にしている場合(ChallengeResponseAuthenticationおよびUserPAMを無効にしている場合)は影響を受けない。また、パスワード認証ではなく公開鍵認証を利用している場合も影響を受けない。

 OpenSSH開発元ではパッチを提供しており、これは数週間内にリリースされるバージョン7.0にも含まれる予定というが、念のためOpenSSHの認証に関する設定を見直し、可能であれば公開鍵認証を利用することが推奨される。また、

  • アクセス元IPアドレスを制限する
  • SSHサービスを22/TCP以外で稼働させる
  • Fail2banやPam-Shieldを利用し、ログインに失敗したIPアドレスからの接続をブロックする

といった手法によって攻撃の影響を緩和することも検討すべきだろう。

Copyright © ITmedia, Inc. All Rights Reserved.

Security & Trust 記事ランキング

  1. 中小企業の20%の経営層は「自社はサイバー攻撃に遭わない」と信じている バラクーダネットワークス調査
  2. AWS、組織のセキュリティインシデント対応を支援する「AWS Security Incident Response」を発表 アラートに圧倒されるセキュリティチームをどう支援?
  3. ChatGPTやClaudeのAPIアクセスをかたってマルウェアを配布するPython用パッケージ確認 Kasperskyが注意喚起
  4. 「生成AIのサイバー攻撃への悪用」は増加する? 徳丸浩氏が予測する2025年のセキュリティ
  5. 「このままゼロトラストへ進んでいいの?」と迷う企業やこれから入門する企業も必見、ゼロトラストの本質、始め方/進め方が分かる無料の電子書籍
  6. 商用国家安全保障アルゴリズム(CNSA)の期限となる2030年までに暗号化/キー管理サービス市場が60億ドルに達するとABI Researchが予測 急成長の要因とは?
  7. 高度なAIでAIをテスト OpenAIが実践するAIモデルのレッドチーム演習とは
  8. Google、オープンソースのセキュリティパッチ検証ツール「Vanir」を公開 多種多様なAndroidデバイスの脆弱性対応を支援するアプローチとは
  9. 堅調なID管理や認証、脅威インテリジェンスなどを抑え、2024年上半期で最も成長したセキュリティ分野は?
  10. NIST、3つのポスト量子暗号(PQC)標準(FIPS 203〜205)を発表 量子コンピュータ悪用に耐える暗号化アルゴリズム、どう決めた?
ページトップに戻る