1. No category

SNMPリフレクター攻撃に対する注意喚起について [PDF: 約35KB] - 警察庁

Distributed via
http://www.npa.go.jp/cyberpolice/
平 成 26 年 11 月 26 日
Topic
SNMP リフレクター攻撃に対する注意喚起について
ネットワーク経由で機器の監視や制御を行うプロトコルである SNMP(Simple Network
Management Protocol)を悪用した SNMP リフレクター攻撃を企図するアクセスの増加を確認
しています。管理するネットワーク機器が攻撃の踏み台として悪用されないために対策を行
うことを推奨します。
1 SNMP に対応した機器を踏み台とした攻撃を企図するアクセスの増加
(1) 宛先ポート 161/UDP に対するアクセス
警察庁では、10 月中旬頃から宛先ポート 161/UDP に対するアクセスの増加を観測してい
ます(図1)。このポートは、ネットワーク経由で機器の監視や制御を行うプロトコルである
SNMP(Simple Network Management Protocol)で使用されています。
(件/日・IPアドレス)
14,000
12,000
10,000
8,000
6,000
4,000
2,000
11月20日
11月15日
11月10日
11月5日
10月31日
10月26日
10月21日
10月16日
10月11日
10月6日
10月1日
9月26日
9月21日
9月16日
9月11日
9月6日
9月1日
0
図1 宛先ポート 161/UDP に対するアクセス件数の推移
これらのアクセスは、SNMP に対応した機器(SNMP エージェント)から、複数の管理データ
(MIB:Management Information Base)をまとめて取得する「GetBulkRequest」と呼ばれるリク
エストを行うものであり、これは本来、管理する機器の監視を目的として送信されるものです。
また、SNMP のバージョンが SNMPv2 に対応した機器(SNMPv2 エージェント)、また、SNMP
コミュニティ名が初期値の「public」に設定されている機器を対象として送信されていました。
警察庁で検知したこれらのアクセスは、一部のセンサーでは全く観測されていません。攻
撃者は、事前に何らかのスキャンを行い、攻撃の踏み台となる機器を選定してこれらのアク
セスを行っていると推測されます。
Copyright 2014 Cyber Force Center, NPA JAPAN
(2) SNMP に対応した機器を踏み台としたリフレクター攻撃
攻撃者は、発信元の IP アドレスを攻撃対象の IP アドレスに詐称し、踏み台となる SNMP
対応機器に対してアクセスを行い、攻撃対象に対するリフレクター攻撃(リフレクション攻撃)
を企図していると考えられます。このアクセスが、対策の行われていない SNMPv2 エージェン
トに行われた場合、発信元の IP アドレス(攻撃対象)に対して、大量のデータを送信してしま
う可能性があります(図2)。
攻撃対象
攻撃者
SNMP対応機器
GetBulkRequest
発信元を攻撃対象に詐称
したGetBulkRequest
応答
回線帯域や処理能力を超
えるデータが送信され、正
常な動作が妨害される。
図2 SNMP に対応した機器を踏み台としたリフレクター攻撃
警 察 庁 が 観 測 し た こ れ ら の ア ク セ ス は 、 GetBulkRequest の MIB 複 数 取 得 数
(max-repetitions)が「2250」にセットされているなどの共通点が確認されたことから、なんら
かのツールを使用するなど、共通の手法により生成されたパケットであると考えられます。
警察庁では、SNMP を含めた UDP を利用するプロトコルを悪用するリフレクター攻撃につ
いて、これまでも注意喚起iを実施してきたところですが、以下の対策を行うことを推奨いたし
ます。
2 SNMP リフレクター攻撃の踏み台とならないために推奨する対策
管理するネットワーク機器が、SNMP リフレクター攻撃の踏み台として悪用されないために、
次の対策を実施することを推奨します。
(1) 外部からの SNMP 通信(宛先ポート 161/UDP のアクセス)を FW により遮断する。
(2) 不要な SNMP エージェントは停止する。
(3) SNMPv3 に対応した機器を使用して、認証・暗号の設定を行う。
(4) SNMP コミュニティ名には、初期値の「public」等、推測可能なものの使用は避ける。
i
「UDP を利用するプロトコルを悪用する各種リフレクター攻撃に対する注意喚起について」(平成 26 年7月 11 日)
http://www.npa.go.jp/cyberpolice/detect/pdf/20140711.pdf
Copyright 2014 Cyber Force Center, NPA JAPAN

 Download  Report
SNMP/Web カード「SC20G/SC20G2」ご使用上の制限事項

SNMP/Web カード「SC20G/SC20G2」ご使用上の制限事項

Vbus-70C 構成変更について

Vbus-70C 構成変更について

【hyogo-sec No.395】SNMP リフレクター攻撃に対する注意喚起 - UMIN

【hyogo-sec No.395】SNMP リフレクター攻撃に対する注意喚起 - UMIN

多木化学超微粒子酸化物ゾル一覧

多木化学超微粒子酸化物ゾル一覧

SSD 製品の書き込み保証値とその監視方法

SSD 製品の書き込み保証値とその監視方法

3-4. SNMP エージェント

3-4. SNMP エージェント

カタログ - タカコム

カタログ - タカコム

NetCrunch 6

NetCrunch 6

最近発表されたSNMPの脆弱性に関するCERTの勧告に関連し

最近発表されたSNMPの脆弱性に関するCERTの勧告に関連し

PRTG 製品ガイド - ジュピターテクノロジー株式会社

PRTG 製品ガイド - ジュピターテクノロジー株式会社

監視ソフト-PRTG紹介資料 - PRTG導入・設定のすみれ情報システム

監視ソフト-PRTG紹介資料 - PRTG導入・設定のすみれ情報システム

知的照明システムにおけるデジタル照度セン - 知的システムデザイン研究室

知的照明システムにおけるデジタル照度セン - 知的システムデザイン研究室

ダウンロード - sketch-international ページ!

ダウンロード - sketch-international ページ!

8.1 アプリケーションプロトコルの概要

8.1 アプリケーションプロトコルの概要

15161_01_glssary.pdf(125KB) - Cisco

15161_01_glssary.pdf(125KB) - Cisco

15.2Mbps G.SHDSL.bis 構内モデム ABiLINX 2515 - 構内モデム、LAN

15.2Mbps G.SHDSL.bis 構内モデム ABiLINX 2515 - 構内モデム、LAN

Nagios XI - SNMPでのLinux監視

Nagios XI - SNMPでのLinux監視

AdRem NetCrunch 8 リリースノート

AdRem NetCrunch 8 リリースノート

アンケートという名の演習問題

アンケートという名の演習問題

SNMP - Cisco

SNMP - Cisco

DN-1000R 警子ちゃんⅡ - ISA — 株式会社アイエスエイ

DN-1000R 警子ちゃんⅡ - ISA — 株式会社アイエスエイ

NetCrunchV5J 操作編 - AdRem Software

NetCrunchV5J 操作編 - AdRem Software

expydoc.com

Your ExpyDoc

© Copyright 2024 ExpyDoc