「ポートスキャン(*)を用いた不正アクセスについて」

岡田直資

(*) 多くのホストのネットワークサービスポートに順次アクセスして、各ポートに対応するサービスに存在するセキュリティ上の弱点を探し出す攻撃

朝日新聞 7月 3日朝刊

『海外ネットで「日本侵入」が例示され同時多発不正アクセス』

詳細(JPCERT/CC) http://www.jpcert.or.jp/info/98-0004/index.html

メーリングリスト等の情報と総合すると

自動的にポートスキャンを行うツールが 6月下旬に公開
サブドメインまたはサブネットワーク全体を順番に攻撃
説明書に *.or.jp や *.ac.jp が例として挙げられている
6月 27日から日本の各サイトで攻撃が確認されている

我々の研究室のホストのログをチェック

hostA (Linux RedHat)

/var/log/message

Jun 26 13:43:03 hostA telnetd[3949]: ttloop:  peer died: Success 
Jun 26 13:43:17 hostA syslog: error: cannot execute /usr/sbin/ipop3d: No such file or directory

/var/log/syslog

Jun 26 13:43:03 hostA in.telnetd[3949]: connect from 142.165.117.30
Jun 26 13:43:17 hostA ipop3d[3950]: connect from 142.165.117.30
Jun 26 13:43:19 hostA in.telnetd[3951]: connect from 142.165.117.30

hostB (Linux TurboLinux)

/var/log/messages

Jun 26 13:43:08 hostB telnetd[2056]: ttloop:  peer died: Success 
Jun 26 13:44:14 hostB telnetd[2058]: ttloop:  read: Connection reset by peer

/var/log/secure

Jun 26 13:43:08 hostB in.telnetd[2056]: connect from 142.165.117.30
Jun 26 13:43:27 hostB in.telnetd[2058]: connect from 142.165.117.30

hostC (BSD/OS)

Jun 26 13:42:30 hostC popper[22344]: (v2.1.4-R3) Servicing request from "ts00ac30.sk.sympatico.ca" at 142.165.117.30
Jun 26 13:42:31 hostC popper[22344]: -ERR POP timeout
Jun 26 13:42:31 hostC popper[22344]: (v2.1.4-R3) Ending request from "" at (ts00ac30.sk.sympatico.ca) 142.165.117.30

我々の研究室も攻撃を受けたことが分かった。上記のホストはいずれも tcp_wrapper が導入されていたためにログに形跡が残っていた。これらのホストに限って言えば、侵入には失敗したようだ。だが他のホストは分からない。

セキュリティ対策の為の情報源

CERT/CC (http://www.cert.org/): CERT(computer emergency response team) Coordination Center セキュリティホール、不正アクセス・攻撃、それらへの対策に関する情報を提供。
CERT/CC Advisories (http://www.cert.org/advisories/index.html)
CERT/CC Summaries (http://www.cert.org/summaries/index.html)
CIAC (http://ciac.llnl.gov/): Computer Incident Advisory Capability 同じく、セキュリティホールに関する情報を提供。
JPCERT/CC (http://www.jpcert.or.jp/): 日本での攻撃に関して情報を提供。本家 CERT/CC の補完的存在。sendmail コンパイルの手引きあり。
Internet Watch ( http://sphere.watch.impress.co.jp/internet/): 重要なセキュリティホールについては記事が出る。
Security Watch ( http://www.ky.xaxon.ne.jp/~deerpark/ からリンク): セキュリティに関するニュースを掲載。
linux-security-jp Mailig List( http://www.3ware.co.jp/opensoc/index.html): セキュリティに関心を持つ Linux ユーザのための情報交換のメーリングリスト。他の OS の話題も可。
SunSolve Online Public Patch Access (http://sunsolve.sun.com/sunsolve/pubpatches/patches.html): SunOS の Recommended Patch と Security Patch。

付録「はじめての SPAM 中継攻撃」

メールサーバ hostD の/var/log/syslog (メールアドレスは伏せ字)

Jun 20 23:33:46 hostD sendmail[27305]: XAA27305: ... Relay operation rejected
Jun 20 23:33:46 hostD sendmail[27305]: XAA27305: ... Relay operation rejected
Jun 20 23:33:46 hostD sendmail[27305]: XAA27305: ruleset=check_rcpt, arg1=, relay=[166.55.80.144], reject=571 ... Relay operation rejected
Jun 20 23:33:46 hostD sendmail[27305]: XAA27305: ruleset=check_rcpt, arg1=, relay=[166.55.80.144], reject=571 ... Relay operation rejected

以下同様のログ多数

SPAM 対策の情報源

SPAM の現状と対策 ( http://www.ayamura.org/interop98/)
sendmail バージョンアップマニュアル ( http://www.jpcert.or.jp/tech/98-0001/index.html)