ITコラム

SSH接続を標的にした「Terrapin攻撃」の影響は?

WEB
最新のサイバー攻撃「Terrapin攻撃」についてのコラムのサムネイル画像です

SSH接続を標的にした新しいサイバー攻撃「Terrapin攻撃」発表

コンピュータヘルプサイトの「Bleeping Computer」は米国時間の1月3日に、「Nearly 11 million SSH servers vulnerable to new Terrapin attacks(約 1,100 万台の SSH サーバーが新たな Terrapin 攻撃に対して脆弱)」と発表しました。

この発表によると、インターネット上に公開された世界中の約1.100万台のSSHサーバーが、「Terrapin攻撃」に対して脆弱とのことです。
このTerrapin攻撃とは、ドイツのルール大学ボーフムの学術研究者によって開発された攻撃方法のことです。

この攻撃方法に対して、セキュリティ監視プラットホームを提供するShadowserverはX(旧Twitter)で 調査を発表しました。
公開されているSSHサーバーのうちTerrapin攻撃に対して脆弱なサーバーが1,100万台ほど存在し、世界全体の約52%を占めると報じました。

Shadowserverは、Terrapin攻撃への脆弱性の影響を受けるSSHサーバーの世界各国の台数を発表しました。

セキュリティ監視プラットホームを提供するShadowserverがX(旧Twitter)で発表した実際の画像です。

引用:ShadowserverはX(旧Twitter)

世界で1,100万台のサーバーに影響。日本でも影響は38万台!

Shadowserverの発表した調査をもとに、Terrapin攻撃への脆弱性の影響を受けるSSHサーバーの世界各国の台数の上位ランキングを作成しました。

1位はアメリカ合衆国で、影響を受けるサーバーは約330万台に上るとのことです。この数は2位である中国の約3倍の数になっています。
2位は中国の約130万台、3位はドイツの約100万台と、トップ3に入ってしまった国はいずれも100万台を超えています。

続いてロシアの約70万台、シンガポールの約39万台。そして日本も約38万台のサーバーに影響があるとされています。他人事ではなく危機感をもって対策する必要がありますね。

Shadowserverは、Terrapin攻撃への脆弱性の影響を受けるSSHサーバーの世界各国の台数の上位6か国を記載した表です。

1,100万のサーバーのすべてが、直ちに攻撃されるという危険にさらされているわけではありませんが、サイバー攻撃の手段がひとつ増えてしまったという事実は重く受け止めなければなりません。

Terrapin攻撃はどんな攻撃?

日本国内でも膨大な数のSSHサーバーが影響を受けることが確認されており、管理者には早急な対策を推奨されています。参考:Terrapin Attack – Paches

早速、2023年12月18日(カナダ時間)OpenBSDプロジェクトはTerrapin攻撃へのセキュリティ修正を含むOpenSSH 9.6/9.6p1のリリースを発表しています。公式のリリース情報はこちらから見れます。

SSH接続の仕組みとの関係

SSHはネットワークを介したリモート端末へのログインや、ファイル転送を安全に行うためのインターネット標準プロトコルです。
筆者は、自社内で運用している仮想サーバーへリモートで繋ぐ際にSSH接続を利用しています。
Unix/Linuxサーバーへ接続する際はSSHかtelnetを使う方が多いのではないでしょうか。
SSHの脆弱なポイントは、主に3点あります。

  1. 暗号化していない通信時に、パケットに付与されるシーケンス番号がチェックされない
  2. 暗号化通信の開始時のシーケンス番号さえ正しければ整合性が保たれてしまう
  3. 最初のパケットがなくなってしまった場合、シーケンス番号のチェック以外ではなくなったことに気づけない
SSH接続で見つかった新たな脆弱性を図にしています。 ①非暗号化通信の場合はシーケンス番号がチェックされません。 ②最初のシーケンス番号のチェックさえ合っていれば見逃されてしまいます ③最初のパケットがなくなったことに気づけないです

Terrapin攻撃はこのような脆弱性を利用しています。
カンタンに攻撃手口を図解すると、以下のようになります。

Terrapin攻撃手口を図解しています。まず最初のパケットを落とし、パケットを水増しすることでSSH接続の伝達に支障が出ます。それによってサーバー・クライアント認証が弱くなり、SSH接続が弱体化してしまうという流れです。

暗号化通信の際、最初のパケット(EXIT_INFO)を落とします。
暗号化していないときにパケットを水増しします。
これにより、サーバー・クライアント認証が弱い形式になってしまいます。最初のパケット(EXIT_INFO)は、自分が認識できる拡張機能の伝達のために使用されています。

この攻撃を行うためには、通信の中継をする必要があるため、中間者攻撃(MITM:Man in the middle attack)に分類されます。

参考:Terrapin 攻撃により OpenSSH 接続のセキュリティが低下する可能性がある

Terrapin攻撃を受ける可能性があるサーバー

影響を受ける可能性のあるバージョンとパッチ対応済のバージョンが公開されていたので参考にしてみてください。公開されている中でも、なじみ深いものをピックアップしてみました。

参考:Terrapin Attak -patches

実装影響を受けるバージョンパッチ適用済バージョン
Apache MINA SSHD2.11.0 and earlier
非同期SSH2.14.1 and earlier2.14.2
OpenSSH9.5 / 9.5p1 and earlier9.6 / 9.6p1
SFTP Gateway3.4.5 and earlier3.4.6
Tera Term5.0 and earlier
4.107 and earlier		5.1
4.108
Win32-OpenSSH9.4.0.0p1-Beta9.5.0.0p1-Beta
WinSCP6.1.2 and earlier6.2.2 beta
2023年12月の情報

Terrapin攻撃への対策

JPCERTコーディネーションセンターは、2023年12月26日に「JVNTA#95077890 SSH接続の安全性を低下させる攻撃手法Terrapin Attackについて」という脆弱性レポートにて注意喚起を行いました。

この注意喚起の他に、次のような対策を推奨しています。

  • 使用しているSSH実装のアップデートを最新にする
  • SSH接続で利用している暗号方式を、この攻撃の影響を受けないアルゴリズム「AES-GCM」などに変更する
  • OpenSSHユーザーの場合、影響を受ける暗号方式を無効にする設定を追加する

今後の動向に注目

いかがだったでしょうか?セキュリティ関連は日々進化し、それに伴い攻撃方法も進化しています。
今後の動向にも目が離せませんね!

関連:インターネットセキュリティの自己管理に不安感を覚えたときの対応