図1●UNIXおよびLinux系サーバーを踏み台にしたIP電話機器への攻撃の概要
図1●UNIXおよびLinux系サーバーを踏み台にしたIP電話機器への攻撃の概要
[画像のクリックで拡大表示]
写真1●UDP5060番ポートを狙ったスキャンや攻撃の定点観測結果(国内)
写真1●UDP5060番ポートを狙ったスキャンや攻撃の定点観測結果(国内)
[画像のクリックで拡大表示]
写真2●UDP5060番ポートを狙ったスキャンや攻撃の定点観測結果(アジア太平洋地域)
写真2●UDP5060番ポートを狙ったスキャンや攻撃の定点観測結果(アジア太平洋地域)
[画像のクリックで拡大表示]
図2●定点観測で収集したパケットと被害を受けたユーザーが提出したプログラムで生成したパケットの比較結果
図2●定点観測で収集したパケットと被害を受けたユーザーが提出したプログラムで生成したパケットの比較結果
[画像のクリックで拡大表示]

 JPCERTコーディネーションセンター(JPCERT/CC)は2011年2月8日、主にセキュリティ対策が不十分なUNIXおよびLinux系サーバーが不正アクセスを受け、これを踏み台としたIP電話機器(SIP対応)への攻撃が急増しているという調査結果を公表し、サーバー管理者などへ広く注意を呼びかけた。

 JPCERT/CCによれば、2010年7月ころから、IP電話機器などが使うプロトコル「SIP」(Session Initiation Protocol)の待ち受け用ポート番号である「UDP5060番ポート」を狙ったスキャンや辞書攻撃が急増しているという(図1)。

 国内およびアジア太平洋地域のインターネット定点観測データ(写真1写真2)や、同データと攻撃に使われていると思われるプログラムで生成したパケットとの比較解析結果(図2)などから、攻撃をするための「踏み台」としてUNIXおよびLinux系サーバーが侵入を受けて使われていると予測している。スキャン方法の特徴から、同期間にUDP5060番ポートを狙ったスキャンの約8割がUNIX/Linux向け攻撃プログラムによるものだった可能性が高いという。

 調査結果を受けてJPCERT/CCでは、UNIX/Linux系サーバーの管理者に向けて、(1)同様なプログラムが動作していないかどうかの確認、(2)ファイアウオールやIDS(Intrusion Detection System、侵入検知システム)のログにUDP5060番ポートを対象としたスキャンを実行した形跡がないかの確認---などの対策をとるよう呼びかけている。

 サーバーの「/.old/aloha」ディレクトリに、「svmap」「svwar」「svcrack」「svreport」「svcrash」などの名前が付いたファイルが存在するかどうかもチェックすべき項目だという。その理由としてJPCERT/CCでは、踏み台攻撃の被害を受けたユーザーからの報告で、SIPスキャナやPBXの特定、SIPパスワードクラックなどのプログラムが上記パスにこれらのファイル名で置かれていたためとしている。