本当に怖い「パスワード破り」

　パスワードを破ってFTPサーバーやSSHサーバーに不正侵入しようとする攻撃が後を絶たない。IBM ISSのセキュリティオペレーションセンター（SOC）でも多数検知している。本稿ではパスワード解析の脅威を再認識していただくために，ハニーポット^[注1]を使った調査結果を基に，その実際の手口を解説したい。

注1　ハニーポットとは，攻撃者やワームなどをおびき寄せ，侵入後にどんな行動をとるかを監視・観察するためのシステムのこと（用語解説）。今回使用したハニーポット環境では，侵入した攻撃者が悪用できないようにアクセス制限を施し，外部への不正なパケットを制御した。

侵入後の振る舞い

　ハニーポットによる調査期間は2006年9月1日から9月25日。以下では，実際にパスワードを破られて侵入された事例を紹介する。

　システム・ログを確認したところ，この事例では，SSHサービスに対する認証が特定のIPアドレスから370回ほど連続しておこなわれ，最終的に侵入を許した。侵入後の攻撃者の行動は，historyコマンド^[注2]によって確認できた（リスト1）。

注2　UNIX系OSのコマンドの一つ。コマンドの実行履歴などを表示する。

　出力結果を見ると，攻撃者は侵入に成功したシステム（ハニーポット）を，別のシステムに対するパスワード解析攻撃の踏み台にしていることが分かる。攻撃者はwgetコマンドを使って，無料のホスティング・サービスからパスワード解析ツールをダウンロードし（リスト1 10行目），複数のクラスBのアドレス・レンジに対してパスワード解析を仕掛けている（同11行目）。

　後日調査したところ，このとき使用されたツールは「辞書攻撃」をおこなうものであることが確認できた。辞書攻撃とは，パスワードとして使われることが多い単語を収めた“辞書”を使ってパスワードを破る攻撃手法のこと。このツールが使っていた辞書には1万3562件の単語が登録されていた。

　侵入されたシステムは，別のシステムへの侵入に悪用されるだけではない。侵入に成功した別の攻撃者は，ハニーポットにボットを仕掛けようとした（リスト2 132行目，138行目）。

　さらにその後，このシステム上に，フィッシング詐欺を目的とした偽のWebサイトを構築しようとしている（リスト3 144行目）

　この事例に見られるように，一度侵入されると，そのシステムは攻撃者に“思う存分”悪用されることになる。不正侵入を許すことは，攻撃者に加担することになるのだ。システムに重要な情報が保存されていないからといって，油断してはいけないことが分かっていただけるだろう。

　余談ではあるが，今回の調査では，攻撃者は14のサイトから解析ツールなどをダウンロードしていた。これらのサイトを調べたところ，8サイトが無料で利用できるホスティング・サービスのサイトだった。無料のホスティング・サービスは，住所や氏名，年齢などを入力すれば誰でも利用できる。しかも，偽りのデータを入力しても確認されないので，事実上匿名で利用可能だ。そのため，ツールの置き場所として攻撃者に悪用されることが多い。