OpenSSHの設定に不備、ブルートフォース攻撃を容易にする恐れ公開鍵認証の利用を推奨

UNIXやLinux系システムで広く利用されているリモートアクセスソフトウエア「OpenSSH」に、リモートから多数のログイン試行を可能にする、つまりブルートフォース攻撃を許してしまう問題が指摘された。

» 2015年07月24日 18時20分 公開
[高橋睦美@IT]

 UNIXやLinux系システムで広く利用されているリモートアクセスソフトウエア「OpenSSH」に、設定上の不備によって、リモートから多数のログイン試行を可能にしてしまう脆弱性が指摘されている。

 OpenSSHではログインする際に、パスワード認証や公開鍵認証など複数の認証方式が用意されている。総当たり攻撃(ブルートフォース攻撃)のリスクを避けるには、公開鍵認証などより強固な方式が望ましい。だが何らかの理由でパスワード認証を採用する際には、一定回数以上誤ったパスワードを入力すると、セッションが終了する仕組みを取ることで総当たり攻撃に備えることが推奨される。この回数は、デフォルトではsshd側では6回に設定されている。

 しかし、Kingcopeと名乗るセキュリティ研究者が2015年7月16日に投稿したブログによると、「keyboard-interactive authentication」を有効にしている場合、「LoginGraceTime」で設定されているログイン制限時間の間、この試行回数を超えてパスワード入力を試すことが可能という。LoginGraceTimeはデフォルトでは120秒に設定されている。つまり、仮に弱いパスワードが設定されていれば、ツールなどを用いて総当たりでパスワードを試し、不正にログインする余裕を与えてしまう恐れがある。

 この研究者によると、影響を受けるのは、先日リリースされた6.9も含め既存のOpenSSHのバージョン全てとなっている。ただし攻撃が成立するかどうかは設定により、keyboard-interactive authenticationを無効にしている場合(ChallengeResponseAuthenticationおよびUserPAMを無効にしている場合)は影響を受けない。また、パスワード認証ではなく公開鍵認証を利用している場合も影響を受けない。

 OpenSSH開発元ではパッチを提供しており、これは数週間内にリリースされるバージョン7.0にも含まれる予定というが、念のためOpenSSHの認証に関する設定を見直し、可能であれば公開鍵認証を利用することが推奨される。また、

  • アクセス元IPアドレスを制限する
  • SSHサービスを22/TCP以外で稼働させる
  • Fail2banやPam-Shieldを利用し、ログインに失敗したIPアドレスからの接続をブロックする

といった手法によって攻撃の影響を緩和することも検討すべきだろう。

Copyright © ITmedia, Inc. All Rights Reserved.

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。