JPCERTコーディネーションセンター(JPCERT/CC)は2011年2月8日、主にセキュリティ対策が不十分なUNIX
およびLinux系サーバーが不正アクセスを受け、これを踏み台としたIP電話機器(SIP対応)への攻撃が急増して
いるという調査結果を公表し、サーバー管理者などへ広く注意を呼びかけた。
JPCERT/CCによれば、2010年7月ころから、IP電話機器などが使うプロトコル「SIP」(Session Initiation Protocol)の
待ち受け用ポート番号である「UDP5060番ポート」を狙ったスキャンや辞書攻撃が急増しているという。
国内およびアジア太平洋地域のインターネット定点観測データや、同データと攻撃に使われていると思われる
プログラムで生成したパケットとの比較解析結果などから、攻撃をするための「踏み台」としてUNIXおよびLinux系
サーバーが侵入を受けて使われていると予測している。スキャン方法の特徴から、同期間にUDP5060番ポートを
狙ったスキャンの約8割がUNIX/Linux向け攻撃プログラムによるものだった可能性が高いという。
調査結果を受けてJPCERT/CCでは、UNIX/Linux系サーバーの管理者に向けて、(1)同様なプログラムが動作
していないかどうかの確認、(2)ファイアウオールやIDS(Intrusion Detection System、侵入検知システム)のログに
UDP5060番ポートを対象としたスキャンを実行した形跡がないかの確認---などの対策をとるよう呼びかけている。
サーバーの「/.old/aloha」ディレクトリに、「svmap」「svwar」「svcrack」「svreport」「svcrash」などの名前が付いた
ファイルが存在するかどうかもチェックすべき項目だという。その理由としてJPCERT/CCでは、踏み台攻撃の被害を
受けたユーザーからの報告で、SIPスキャナやPBXの特定、SIPパスワードクラックなどのプログラムが上記パスに
これらのファイル名で置かれていたためとしている。
http://itpro.nikkeibp.co.jp/article/NEWS/20110209/357055/