Tweet

SIPサーバへの攻撃の踏み台に

JPCERT/CCがUNIX/Linuxサーバへの侵入に注意喚起

2011/02/08

　JPCERTコーディネーションセンター（JPCERT/CC）は2月8日、UNIX/Linux系サーバを踏み台とし、SIPサーバやSIP対応機器などを対象にする攻撃が報告されたことを受け、注意喚起を行った。

　JPCERT/CCによると、攻撃者がまずターゲットにするのは、インターネットに公開され、脆弱性のあるUNIX/Linuxサーバ。こうしたサーバへの侵入に成功すると、攻撃用プログラムを設置して踏み台化する。そして、第三者が運用しているSIPサーバやSIP機器を対象に、主にSIPプロトコルが使用しているUDP 5060番ポートを対象としたスキャンや辞書攻撃を行い、SIPサーバに関する情報を収集。最終的にSIPアカウント情報などを入手して、国際電話などの不正な発信に悪用している可能性があるという。

　JPCERT/CCが運用しているインターネット定点観測システム「ISDAS/TSUBAME」では、2010年7月ごろから、UDP 5060ポートへのスキャン急増を観測している。

　JPCERT/CCでは、サーバ上で「脆弱性のあるOSやアプリケーションを使用しない」「脆弱性のあるWebアプリケーションを使用しない」「サーバやファイアウォールなどで適切なアクセス制限を行う」「ログインアカウント情報やSIPアカウント情報に単純な文字列を使用しない」といった基本的な対策を取ることを推奨。合わせて、ファイアウォールやIDSのログに、UDP 5060番ポートを対象としたスキャンの形跡がないか、また/.old/alohaのパスに「svmap」「svwar」といった名称の不審なプログラムがないかどうかを確認するよう勧めている。