-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 各位 JPCERT-AT-2013-0036 JPCERT/CC 2013-09-06 <<< JPCERT/CC Alert 2013-09-06 >>> SIP サーバの不正利用に関する注意喚起 https://www.jpcert.or.jp/at/2013/at130036.html I. 概要 JPCERT/CC では、SIP サーバの不正利用に関するインシデント報告を受領し ています。同時期に別の報告者から、不正アクセスを受けたサーバに SIP サーバを攻撃するツールが設置されていたというインシデント報告を受領して いたことから、攻撃者は不正に侵入したサーバに SIP サーバを探索して SIP アカウント*1 を窃取する攻撃ツールを設置し、攻撃を行っていたと推測されま す。 設置されていた攻撃ツールの挙動については、II.攻撃事例をご参照ください。 電気通信事業者協会 (TCA) などからも以下の注意喚起が行われていることから、 当該攻撃により窃取された SIP アカウントが悪用され、IP 電話等サービスが 不正利用されていたと想定されます。 電気通信事業者協会 (TCA) なりすまし利用など、第三者による不正なIP電話利用等に関して(ご注意) http://www.tca.or.jp/press_release/2013/0806_583.html また、JPCERT/CC が運用するインターネット定点観測システム (TSUBAME) *2 の観測データにおいても、SIP サーバを探索するパケットが増加していること を確認しており、今後も同攻撃が継続すると想定されることから、SIP サーバ の不正利用防止を目的として、本注意喚起を発行いたします。 *1 SIP サーバが提供しているサービスを利用する際のアカウント情報 *2 JPCERT/CC が運用する、アジア・太平洋インターネット定点観測システム の名称 II. 攻撃事例 JPCERT/CC に提供された攻撃ツール等の情報から、攻撃者は以下のような攻 撃を行っていると思われます。 1. 攻撃者は、公開されている SIP の脆弱性検証ツールを改造し、最終的に 攻撃者に情報が集まるようなプログラムを用意します 2. 攻撃者は、弱いパスワードや脆弱性を残したまま運用しているサーバや機 器に侵入し、1.の攻撃ツールを動作させます 3. 攻撃ツールが動作しているサーバは、インターネット上に公開されている SIP サーバなどを探索します 4. 攻撃ツールは SIP サーバを発見した場合、約13万行に及ぶ辞書攻撃を行 い、SIP アカウントを窃取します 5. 攻撃ツールは SIP のアカウント情報を窃取後、外部サーバにメールで送 信します III. インターネット定点観測システム (TSUBAME) での観測状況 II.攻撃事例の 3.で取り上げた探索パケットは、2010年7月頃から TSUBAME システムのセンサにおいても観測 (図1) しています。また、アジア・太平洋地 域に設置されたセンサでも同様の探索パケットを観測しています。 https://www.jpcert.or.jp/at/2013/at130036_tsubame.png 図1: 国内の 5060/Udp のパケット観測動向 (送信元地域別) IV. 対策 SIP サーバや、SIP 対応機器などを使用している方は、SIP アカウントを窃 取され、不正利用などの被害を受けないよう、SIP アカウントに強固なパスワー ドを設定してください。 ・SIP アカウントに関する対策 - デフォルトパスワードを使用しない - ID とパスワードを同一の文字列にしない - 空欄や単純な文字列にしない ※ 攻撃ツールの辞書ファイルには、10桁以内の数字や、辞書に含まれる ような英単語、また英単語の文字列の一部を記号や数字に置き換えた ものが含まれています。この辞書ファイルを使用して ID や パスワー ドが特定されます。 ・必要がなければ、SIP サーバや、SIP 対応機器をインターネットに直接ア クセスできるようにしない - ルータなどのファイアウォール機能で、外部から SIP サーバや、SIP 対応機器向けのパケットを遮断する - インターネットから接続する必要がある場合は、VPN 接続を利用する ・SIP サーバや SIP 対応機器などのログに不正な発信履歴が存在しないか 定期的にチェックする また、攻撃ツールは SIP サーバのソフトウェア情報 (バージョンなど)を取得 するため、脆弱性が内在する SIP サーバを使用している場合、脆弱性を突く攻 撃を受ける可能性があります。SIP サーバや、SIP 対応機器に最新のセキュリ ティ更新プログラムが適用されているか、あわせて確認することをお勧めしま す。 V. 参考情報 電気通信事業者協会 (TCA) なりすまし利用など、第三者による不正なIP電話利用等に関して(ご注意) http://www.tca.or.jp/press_release/2013/0806_583.html 警察庁 @Police SIPサーバの探索と考えられるアクセス増加の注意喚起について http://www.npa.go.jp/cyberpolice/detect/pdf/20130906.pdf JPCERT/CC Alert 2010-12-09 不適切な設定で Asteriskを利用した場合に発生し得る不正利用に関する注意喚起 https://www.jpcert.or.jp/at/2010/at100032.html JPCERT/CC Alert 2011-02-08 主に UNIX / Linux 系サーバを対象としたインターネット公開サーバのセキュリティ設定に関する注意喚起 https://www.jpcert.or.jp/at/2011/at110002.html 今回の件につきまして当方まで提供いただける情報がございましたら、ご連 絡ください。 また、本攻撃の類似例や被害事例などの情報をお持ちでしたら、以下の Web フォーム、もしくは電子メールにて、ご報告をお願いします。 Web フォーム: https://form.jpcert.or.jp/ 電子メール: info@jpcert.or.jp ====================================================================== 一般社団法人 JPCERT コーディネーションセンター (JPCERT/CC) MAIL: info@jpcert.or.jp TEL: 03-3518-4600 FAX: 03-3518-4602 https://www.jpcert.or.jp/ -----BEGIN PGP SIGNATURE----- iQEcBAEBCAAGBQJSKSgRAAoJEDF9l6Rp7OBITNcH/jM0BCjEYSFzrBlReeInqynT TLbavVXVTMQOc4g2ujBgCCKh1nyWrPPt3VujToQ5vo654af7Qz1eAzTRLI0pxIJ0 Fng1UmA/cphI8odb7TLFdOW8KfUf1GlFPI2h59gjwOvW/z1v3Lz2+a1JKFd8hjxu fGpi9SGGmVFgfMdWF7MRU4l2a9mgXc5QA7ecHJMcK62Nu2eB8OrcR832mpsAcXZx aINgTRbziXjVfSxeZtr7IMyDd04VmdPMNknmZqvV/Y39OkJbaitFrZRf8knI5fM7 GteCbIuAs4uU07PvE66+4fVRO2CmSt/vKDsLob/JDDE6RZrVCOSnMziFJCW8JsU= =GsXF -----END PGP SIGNATURE-----